> > > > SSL-Implementation fehlerhaft – Kühlschrank von Samsung gehackt

SSL-Implementation fehlerhaft – Kühlschrank von Samsung gehackt

Veröffentlicht am: von

samsung 2013Ein Szenario, vor dem Sicherheitsforscher immer wieder warnen, ist das Anvertrauen sensibler Daten an mehr und mehr Rechner und Systeme. The Internet of Things zeigt aber genau den gegenteiligen Trend. Nach PC, Notebook, Tablet und Smartphone geben Nutzer mehr und mehr wichtige Daten auch an weitere Komponenten wie Smartwatches und eben solche IoT-Geräte weiter. Dazu gehören inzwischen auch Haushaltsgeräte, die zwar seit Jahren immer wieder auf den Messen gezeigt werden, noch immer aber wenig Verbreitung finden. Doch die Skepsis scheint abzunehmen und so werden inzwischen mehr und mehr Waschmaschinen, Öfen und Kühlschränke in die heimischen Netzwerke eingebunden. Welche Gefahren sich dahinter verbergen, zeigt ein Vortrag auf der DEFCON Hacking-Konferenz.

Dort haben Sicherheitsforscher nachgewiesen, dass der Samsung Kühlschrank RF28HMELBSR zwar eine angeblich sichere Verbindung zum Internet und den dazugehörigen Accounts ermöglicht, dies aber offenbar falsch implementiert wurde. Genauer gesagt geht es um die Google-Zugangsdaten, die auf dem Display des Kühlschranks dafür sorgen sollen, dass Kalendereinträge und Notizen für Einkaufslisten synchronisiert werden. Allerdings scheint Samsung das dazugehörigen SSL-Zertifikat falsch eingebaut zu haben. Dies sorgt dafür, dass eine sogenannte Man-in-the-Middle-Attacke, bei der sich ein Angreifer zwischen dem angreifbaren System und den Servern von Google setzen kann, möglich ist.

Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation
Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation

Für den Angriff muss sich der Angreifer im gleichen Netzwerk wie der Kühlschrank befinden. Danach können über die erwähnte Man-in-the-Middle-Attacke der Datenverkehr mitgeschnitten und die Login-Daten des Google-Accounts gelesen werden. Neben dem Datendiebstahl können Angreifer offenbar auch den Update-Mechanismus des Kühlschranks aussetzen. Dazu wird dem Update-Server eine aktuelle Firmware vorgespielt – Updates und damit mögliche Schließungen der Sicherheitslücken erreichen den Kühlschrank in der Folge nicht mehr.

Weitere Angriffsvektoren sind offenbar der Zugriff von Außen auf das Betriebssystem des Samsung RF28HMELBSR. Auf zwei Ports kann auf das System Zugriff genommen werden. Beide sollten über ein Client-Zertifikat abgesichert sein. Doch offenbar liefert die von Samsung ausgelieferte App für das Smartphone und Tablet zur Steuerung des Kühlschranks diese Zertifikate verschlüsselt mit. Einmal aus dem App-Code extrahiert stehen Tür und Tor also auch hier offen – allerdings muss dazu das dazugehörige Passwort geknackt werden, was bisher noch nicht gelungen ist. Auf der Hacker-Konferenz sollte dem Kühlschrank von Samsung noch weiter auf die Pelle gerückt werden. So war geplant per USB oder JTAG auch physischen Zugriff auf das System zu erlangen. Aus Mangel an Zeit musste davon aber abgesehen werden.

Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation
Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation

Der Angriff auf den Kühlschrank von Samsung soll allerdings nicht eine alleinstehende Attacke auf genau dieses Stück Hard- und Software sein, sondern vielmehr das Gefahrenpotenzial solcher Systeme aufzeigen. Die Mehrzahl mit dem Internet verbundenen Geräte erhöhen auch das Potenzial und die Angriffsfläche für Hacks. Dass die Hersteller dabei auch noch grob fahrlässige Fehler bei der Implementierung eigentlich für die Sicherheit der Systeme gedachter Software machen, erhöht das Gefahrenpotenzial natürlich.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (10)

#1
customavatars/avatar24005_1.gif
Registriert seit: 17.06.2005

Oberleutnant zur See
Beiträge: 1377
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.
#2
customavatars/avatar42286_1.gif
Registriert seit: 29.06.2006

Fregattenkapitän
Beiträge: 2942
Früher gab es für das Design von technischen Geräten (also auch Elektronik) den Grundsatz "as simple as possible". Also alle gewünschten Funktionen so einfach wie möglich umzusetzen. Das gewährleistet günstige Produktionskosten, geringe Fehleranfälligkeit/Wartungskosten und somit möglichst lange eine einwandfreie Funktion.

Davon scheint man sich aber bei Elektronik immer weiter zu entfernen. Jedes bisschen Elektronik vom Toaster bis zur Armbanduhr meint heute eine Internetverbindung, Kontakt zum Hersteller und Zugriff auf viele unnötige Daten haben zu wollen.

Bei einem Smartphone bzw. Computer sehe ich das zum Teil auch ein, da es Arbeitsabläufe vereinfacht und einfach geräteübergreifendes Arbeiten erlaubt.
Aber bei Haushaltsgeräten, Heizung und anderen "Lebenswichtigen" Sachen sollte man die Sicherheit und Unabhängigkeit eindeutig vor drittrangige Komfortfunktionen stellen.

Mfg Bimbo385
#3
customavatars/avatar188910_1.gif
Registriert seit: 21.02.2013
Brandenburg
Oberbootsmann
Beiträge: 1019
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.



Ich finde es ehr dumm so etwas zu behaupten! ;)
Aber eigentlich ist Samsung der dumme der seine trauen Käufer ziemlich verarscht,ihre TVs sind auch sehr leicht hackbar und das Opfer bleibt der traue Käufer der sein hart verdientes Geld in so etwas rein steckt
#4
customavatars/avatar100019_1.gif
Registriert seit: 05.10.2008
AT - NÖ
Flottillenadmiral
Beiträge: 5048
Schaaatzzzz wer hat den Kühlschrank gehackt und 1000l Milch bestellt?
#5
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12470
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.

Also da hiervon nicht das Leben abhängt... Komfort geht vor 100%tiger Sicherheit (die es sowieso nicht gibt)!

Bei digital gesteuerten Autos ist das eventuell etwas kritischer.
#6
customavatars/avatar18241_1.gif
Registriert seit: 21.01.2005

Flottillenadmiral
Beiträge: 5874
:HMM: wurde schon ein Tesla gehacked?
Weil den kann man ja auch mit autopilot kriegen.

MfG
#7
Registriert seit: 17.05.2007

Kapitänleutnant
Beiträge: 1719
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.


Andere Menschen als dumm abzustempeln... Tralala so einfach ist die Welt....
#8
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 13898
Der jrs77 hat aber Recht. Vernetzte Haushaltsgeräte, so ein Schwachsinn. Die meisten
sind schon mit der WLAN Konfig. überfordert. Aber Hauptsache der Kühlschrank ist online und
mit Google-Konto verknüpft.
#9
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12470
Zitat MENCHI;23804189
Der jrs77 hat aber Recht. Vernetzte Haushaltsgeräte, so ein Schwachsinn. Die meisten
sind schon mit der WLAN Konfig. überfordert. Aber Hauptsache der Kühlschrank ist online und
mit Google-Konto verknüpft.

Das ist aber ne völlig andere Baustelle: Usability.
#10
customavatars/avatar182753_1.gif
Registriert seit: 28.11.2012

Hauptgefreiter
Beiträge: 252
Außerdem wird sich jemand, der kein WLAN einrichten kann, kaum einen Smart-Kühlschrank kaufen...

An sich finde ich den Trend allerdings auch unnötig.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Michael Kors Access Grayson im Test: Wenn Design das Wichtigste ist

    Logo von IMAGES/STORIES/2017/MICHAEL_KORS_ACCESS_GRAYSON

    Das Smartwatch-Universum ist klar aufgeteilt: An der Spitze marschiert Apple, Android Wear folgt mit weitem Abstand. Eine Aufteilung, die erst vor wenigen Wochen von Marktforschern - mal wieder - bestätigt worden ist. Ohne das Engagement von Mode- und Lifestyle-Unternehmen würde es allerdings... [mehr]

  • Eröffnungsfeier: Olympische Ringe durch 1.218 Drohnen von Intel dargestellt

    Logo von IMAGES/STORIES/2017/INTEL

    Heute wurden die olympischen Winterspiele im südkoreanischen Pyeongchang eröffnet. Während der Eröffnungsfeier waren auch 1.218 Quadrocopter im Einsatz, die bereits mehrfach einen Auftritt bei öffentlichen Veranstaltungen hatten. Die Drohnen basieren auf Intels Shooting... [mehr]

  • Feinstaubsensor und Datenerhebung im DIY-Verfahren

    Logo von IMAGES/STORIES/2017/FEINSTAUBSENSOR-DIY-LOGO

    Heute mal etwas anderes – warum nicht einmal einen Feinstaub-Sensor selbst bauen? Natürlich nach Anleitung, wenngleich es davon schon viele gibt, die aber nicht in jedem Schritt ganz eindeutig sind und zudem einige Hürden haben. Wir lassen also den Lötkolben warmlaufen, bauen uns einen... [mehr]

  • Apple AirPower soll 149 US-Dollar kosten und mit 22 Spulen ausgestattet sein

    Logo von IMAGES/STORIES/2017/AIRPOWER

    Bereits im September 2017 hat Apple seine Ladematte AirPower offiziell vorgestellt. Damals konnte das Unternehmen weder einen Termin, noch einen Preis nennen. Daran hat sich bisher nichts geändert, denn fast ein Jahr später sucht man AirPower weiterhin vergebens in den Regalen der Händler.... [mehr]

  • Tesoro Zone Evolution im Test - breit geschnittener Gaming-Stuhl

    Logo von IMAGES/STORIES/2017/TESORO_ZONE_EVOLUTION_TEASER

    Was haben Kryptowährungen und Gaming-Chairs im Jahr 2017 gemeinsam? Beide boomen in einem Ausmaß, wie man es sich vor einigen Jahre nicht hat vorstellen können. Unser neuester Redaktionszugang ist der Tesoro Zone Evolution, den wir ausführlich probegesessen haben. Der Markt der Sitzmöbel... [mehr]

  • Sony WH-1000XM3: Noise-Cancelling-Kopfhörer in dritter Generation

    Logo von IMAGES/STORIES/2017/SONY

    Bei den Noise-Cancelling Bluetooth-Kopfhörer tut sich einiges. Besonders deutlich wird das mit Blick auf Sony. Erst im letzten Jahr haben wir den MDR-1000X auf dem Weg zur CES getestet. Jetzt wurde mit dem WH-1000XM3 bereits der Nach-Nachfolger vorgestellt.  Sony will dabei vor allem die... [mehr]