> > > > SSL-Implementation fehlerhaft – Kühlschrank von Samsung gehackt

SSL-Implementation fehlerhaft – Kühlschrank von Samsung gehackt

Veröffentlicht am: von

samsung 2013Ein Szenario, vor dem Sicherheitsforscher immer wieder warnen, ist das Anvertrauen sensibler Daten an mehr und mehr Rechner und Systeme. The Internet of Things zeigt aber genau den gegenteiligen Trend. Nach PC, Notebook, Tablet und Smartphone geben Nutzer mehr und mehr wichtige Daten auch an weitere Komponenten wie Smartwatches und eben solche IoT-Geräte weiter. Dazu gehören inzwischen auch Haushaltsgeräte, die zwar seit Jahren immer wieder auf den Messen gezeigt werden, noch immer aber wenig Verbreitung finden. Doch die Skepsis scheint abzunehmen und so werden inzwischen mehr und mehr Waschmaschinen, Öfen und Kühlschränke in die heimischen Netzwerke eingebunden. Welche Gefahren sich dahinter verbergen, zeigt ein Vortrag auf der DEFCON Hacking-Konferenz.

Dort haben Sicherheitsforscher nachgewiesen, dass der Samsung Kühlschrank RF28HMELBSR zwar eine angeblich sichere Verbindung zum Internet und den dazugehörigen Accounts ermöglicht, dies aber offenbar falsch implementiert wurde. Genauer gesagt geht es um die Google-Zugangsdaten, die auf dem Display des Kühlschranks dafür sorgen sollen, dass Kalendereinträge und Notizen für Einkaufslisten synchronisiert werden. Allerdings scheint Samsung das dazugehörigen SSL-Zertifikat falsch eingebaut zu haben. Dies sorgt dafür, dass eine sogenannte Man-in-the-Middle-Attacke, bei der sich ein Angreifer zwischen dem angreifbaren System und den Servern von Google setzen kann, möglich ist.

Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation
Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation

Für den Angriff muss sich der Angreifer im gleichen Netzwerk wie der Kühlschrank befinden. Danach können über die erwähnte Man-in-the-Middle-Attacke der Datenverkehr mitgeschnitten und die Login-Daten des Google-Accounts gelesen werden. Neben dem Datendiebstahl können Angreifer offenbar auch den Update-Mechanismus des Kühlschranks aussetzen. Dazu wird dem Update-Server eine aktuelle Firmware vorgespielt – Updates und damit mögliche Schließungen der Sicherheitslücken erreichen den Kühlschrank in der Folge nicht mehr.

Weitere Angriffsvektoren sind offenbar der Zugriff von Außen auf das Betriebssystem des Samsung RF28HMELBSR. Auf zwei Ports kann auf das System Zugriff genommen werden. Beide sollten über ein Client-Zertifikat abgesichert sein. Doch offenbar liefert die von Samsung ausgelieferte App für das Smartphone und Tablet zur Steuerung des Kühlschranks diese Zertifikate verschlüsselt mit. Einmal aus dem App-Code extrahiert stehen Tür und Tor also auch hier offen – allerdings muss dazu das dazugehörige Passwort geknackt werden, was bisher noch nicht gelungen ist. Auf der Hacker-Konferenz sollte dem Kühlschrank von Samsung noch weiter auf die Pelle gerückt werden. So war geplant per USB oder JTAG auch physischen Zugriff auf das System zu erlangen. Aus Mangel an Zeit musste davon aber abgesehen werden.

Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation
Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation

Der Angriff auf den Kühlschrank von Samsung soll allerdings nicht eine alleinstehende Attacke auf genau dieses Stück Hard- und Software sein, sondern vielmehr das Gefahrenpotenzial solcher Systeme aufzeigen. Die Mehrzahl mit dem Internet verbundenen Geräte erhöhen auch das Potenzial und die Angriffsfläche für Hacks. Dass die Hersteller dabei auch noch grob fahrlässige Fehler bei der Implementierung eigentlich für die Sicherheit der Systeme gedachter Software machen, erhöht das Gefahrenpotenzial natürlich.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (10)

#1
customavatars/avatar24005_1.gif
Registriert seit: 17.06.2005

Oberleutnant zur See
Beiträge: 1340
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.
#2
customavatars/avatar42286_1.gif
Registriert seit: 29.06.2006

Fregattenkapitän
Beiträge: 2888
Früher gab es für das Design von technischen Geräten (also auch Elektronik) den Grundsatz "as simple as possible". Also alle gewünschten Funktionen so einfach wie möglich umzusetzen. Das gewährleistet günstige Produktionskosten, geringe Fehleranfälligkeit/Wartungskosten und somit möglichst lange eine einwandfreie Funktion.

Davon scheint man sich aber bei Elektronik immer weiter zu entfernen. Jedes bisschen Elektronik vom Toaster bis zur Armbanduhr meint heute eine Internetverbindung, Kontakt zum Hersteller und Zugriff auf viele unnötige Daten haben zu wollen.

Bei einem Smartphone bzw. Computer sehe ich das zum Teil auch ein, da es Arbeitsabläufe vereinfacht und einfach geräteübergreifendes Arbeiten erlaubt.
Aber bei Haushaltsgeräten, Heizung und anderen "Lebenswichtigen" Sachen sollte man die Sicherheit und Unabhängigkeit eindeutig vor drittrangige Komfortfunktionen stellen.

Mfg Bimbo385
#3
customavatars/avatar188910_1.gif
Registriert seit: 21.02.2013
Brandenburg
Oberbootsmann
Beiträge: 987
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.



Ich finde es ehr dumm so etwas zu behaupten! ;)
Aber eigentlich ist Samsung der dumme der seine trauen Käufer ziemlich verarscht,ihre TVs sind auch sehr leicht hackbar und das Opfer bleibt der traue Käufer der sein hart verdientes Geld in so etwas rein steckt
#4
customavatars/avatar100019_1.gif
Registriert seit: 05.10.2008
AT - NÖ
Flottillenadmiral
Beiträge: 4951
Schaaatzzzz wer hat den Kühlschrank gehackt und 1000l Milch bestellt?
#5
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12410
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.

Also da hiervon nicht das Leben abhängt... Komfort geht vor 100%tiger Sicherheit (die es sowieso nicht gibt)!

Bei digital gesteuerten Autos ist das eventuell etwas kritischer.
#6
customavatars/avatar18241_1.gif
Registriert seit: 21.01.2005

Flottillenadmiral
Beiträge: 5872
:HMM: wurde schon ein Tesla gehacked?
Weil den kann man ja auch mit autopilot kriegen.

MfG
#7
Registriert seit: 17.05.2007

Kapitänleutnant
Beiträge: 1719
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.


Andere Menschen als dumm abzustempeln... Tralala so einfach ist die Welt....
#8
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 13479
Der jrs77 hat aber Recht. Vernetzte Haushaltsgeräte, so ein Schwachsinn. Die meisten
sind schon mit der WLAN Konfig. überfordert. Aber Hauptsache der Kühlschrank ist online und
mit Google-Konto verknüpft.
#9
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12410
Zitat MENCHI;23804189
Der jrs77 hat aber Recht. Vernetzte Haushaltsgeräte, so ein Schwachsinn. Die meisten
sind schon mit der WLAN Konfig. überfordert. Aber Hauptsache der Kühlschrank ist online und
mit Google-Konto verknüpft.

Das ist aber ne völlig andere Baustelle: Usability.
#10
customavatars/avatar182753_1.gif
Registriert seit: 28.11.2012

Hauptgefreiter
Beiträge: 244
Außerdem wird sich jemand, der kein WLAN einrichten kann, kaum einen Smart-Kühlschrank kaufen...

An sich finde ich den Trend allerdings auch unnötig.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Noblechairs Icon Gamingstuhl im Test

Logo von IMAGES/STORIES/2017/NOBLECHAIRS_TEST

Gamingstuhl im Selbsttest: Viel halte ich ja vom aktuellen Gamingstuhl-Trend nicht. Natürlich, die Dinger sehen cool aus, aber vielleicht bin ich zu alt für jeden neuen Trend. Auch bin ich der Meinung, dass jeder gute Office-Stuhl mehr kann. Aber die Redaktion setzte mir trotzdem den Noblechairs... [mehr]

Eröffnungsfeier: Olympische Ringe durch 1.218 Drohnen von Intel dargestellt

Logo von IMAGES/STORIES/2017/INTEL

Heute wurden die olympischen Winterspiele im südkoreanischen Pyeongchang eröffnet. Während der Eröffnungsfeier waren auch 1.218 Quadrocopter im Einsatz, die bereits mehrfach einen Auftritt bei öffentlichen Veranstaltungen hatten. Die Drohnen basieren auf Intels Shooting... [mehr]

Echo Plus: Amazon macht Smart-Home-Hubs überflüssig

Logo von IMAGES/STORIES/2017/AMAZON_ECHO_PLUS

Mit dem Mitte September vorgestellten neuen Fire HD 10 deutete Amazon bereits an, in welche Richtung sich Alexa bewegen könnte. Nun ist das Ziel klar: Die Nutzung des Smart Home soll deutlich einfacher werden. Damit ist aber nicht nur die leichte Steuerung per Sprache oder Skills gemeint, wie... [mehr]

AVM FRITZ!DECT 301: Intelligentes Thermostat mit E-Paper-Display

Logo von IMAGES/STORIES/2017/AVM_FRITZDECT_301

Mit sinkenden Temperaturen steigt das Interesse an intelligenten Heizungssteuerungen - im Sommer verschwendet man in der Regel keinen Gedanken kalte Herbst- und Winterabende. Mit geringem Aufwand lassen sich die Kosten jedoch senken, gleichzeitig wird die Bedienung komfortabler. Nutzer einer... [mehr]

Michael Kors Access Grayson im Test: Wenn Design das Wichtigste ist

Logo von IMAGES/STORIES/2017/MICHAEL_KORS_ACCESS_GRAYSON

Das Smartwatch-Universum ist klar aufgeteilt: An der Spitze marschiert Apple, Android Wear folgt mit weitem Abstand. Eine Aufteilung, die erst vor wenigen Wochen von Marktforschern - mal wieder - bestätigt worden ist. Ohne das Engagement von Mode- und Lifestyle-Unternehmen würde es allerdings... [mehr]

Feinstaubsensor und Datenerhebung im DIY-Verfahren

Logo von IMAGES/STORIES/2017/FEINSTAUBSENSOR-DIY-LOGO

Heute mal etwas anderes – warum nicht einmal einen Feinstaub-Sensor selbst bauen? Natürlich nach Anleitung, wenngleich es davon schon viele gibt, die aber nicht in jedem Schritt ganz eindeutig sind und zudem einige Hürden haben. Wir lassen also den Lötkolben warmlaufen, bauen uns einen... [mehr]