> > > > SSL-Implementation fehlerhaft – Kühlschrank von Samsung gehackt

SSL-Implementation fehlerhaft – Kühlschrank von Samsung gehackt

Veröffentlicht am: von

samsung 2013Ein Szenario, vor dem Sicherheitsforscher immer wieder warnen, ist das Anvertrauen sensibler Daten an mehr und mehr Rechner und Systeme. The Internet of Things zeigt aber genau den gegenteiligen Trend. Nach PC, Notebook, Tablet und Smartphone geben Nutzer mehr und mehr wichtige Daten auch an weitere Komponenten wie Smartwatches und eben solche IoT-Geräte weiter. Dazu gehören inzwischen auch Haushaltsgeräte, die zwar seit Jahren immer wieder auf den Messen gezeigt werden, noch immer aber wenig Verbreitung finden. Doch die Skepsis scheint abzunehmen und so werden inzwischen mehr und mehr Waschmaschinen, Öfen und Kühlschränke in die heimischen Netzwerke eingebunden. Welche Gefahren sich dahinter verbergen, zeigt ein Vortrag auf der DEFCON Hacking-Konferenz.

Dort haben Sicherheitsforscher nachgewiesen, dass der Samsung Kühlschrank RF28HMELBSR zwar eine angeblich sichere Verbindung zum Internet und den dazugehörigen Accounts ermöglicht, dies aber offenbar falsch implementiert wurde. Genauer gesagt geht es um die Google-Zugangsdaten, die auf dem Display des Kühlschranks dafür sorgen sollen, dass Kalendereinträge und Notizen für Einkaufslisten synchronisiert werden. Allerdings scheint Samsung das dazugehörigen SSL-Zertifikat falsch eingebaut zu haben. Dies sorgt dafür, dass eine sogenannte Man-in-the-Middle-Attacke, bei der sich ein Angreifer zwischen dem angreifbaren System und den Servern von Google setzen kann, möglich ist.

Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation
Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation

Für den Angriff muss sich der Angreifer im gleichen Netzwerk wie der Kühlschrank befinden. Danach können über die erwähnte Man-in-the-Middle-Attacke der Datenverkehr mitgeschnitten und die Login-Daten des Google-Accounts gelesen werden. Neben dem Datendiebstahl können Angreifer offenbar auch den Update-Mechanismus des Kühlschranks aussetzen. Dazu wird dem Update-Server eine aktuelle Firmware vorgespielt – Updates und damit mögliche Schließungen der Sicherheitslücken erreichen den Kühlschrank in der Folge nicht mehr.

Weitere Angriffsvektoren sind offenbar der Zugriff von Außen auf das Betriebssystem des Samsung RF28HMELBSR. Auf zwei Ports kann auf das System Zugriff genommen werden. Beide sollten über ein Client-Zertifikat abgesichert sein. Doch offenbar liefert die von Samsung ausgelieferte App für das Smartphone und Tablet zur Steuerung des Kühlschranks diese Zertifikate verschlüsselt mit. Einmal aus dem App-Code extrahiert stehen Tür und Tor also auch hier offen – allerdings muss dazu das dazugehörige Passwort geknackt werden, was bisher noch nicht gelungen ist. Auf der Hacker-Konferenz sollte dem Kühlschrank von Samsung noch weiter auf die Pelle gerückt werden. So war geplant per USB oder JTAG auch physischen Zugriff auf das System zu erlangen. Aus Mangel an Zeit musste davon aber abgesehen werden.

Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation
Samsung Kühlschrank RF28HMELBSR mit fehlerhafter SSL-Implementation

Der Angriff auf den Kühlschrank von Samsung soll allerdings nicht eine alleinstehende Attacke auf genau dieses Stück Hard- und Software sein, sondern vielmehr das Gefahrenpotenzial solcher Systeme aufzeigen. Die Mehrzahl mit dem Internet verbundenen Geräte erhöhen auch das Potenzial und die Angriffsfläche für Hacks. Dass die Hersteller dabei auch noch grob fahrlässige Fehler bei der Implementierung eigentlich für die Sicherheit der Systeme gedachter Software machen, erhöht das Gefahrenpotenzial natürlich.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (10)

#1
customavatars/avatar24005_1.gif
Registriert seit: 17.06.2005

Oberbootsmann
Beiträge: 961
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.
#2
customavatars/avatar42286_1.gif
Registriert seit: 29.06.2006

Fregattenkapitän
Beiträge: 2824
Früher gab es für das Design von technischen Geräten (also auch Elektronik) den Grundsatz "as simple as possible". Also alle gewünschten Funktionen so einfach wie möglich umzusetzen. Das gewährleistet günstige Produktionskosten, geringe Fehleranfälligkeit/Wartungskosten und somit möglichst lange eine einwandfreie Funktion.

Davon scheint man sich aber bei Elektronik immer weiter zu entfernen. Jedes bisschen Elektronik vom Toaster bis zur Armbanduhr meint heute eine Internetverbindung, Kontakt zum Hersteller und Zugriff auf viele unnötige Daten haben zu wollen.

Bei einem Smartphone bzw. Computer sehe ich das zum Teil auch ein, da es Arbeitsabläufe vereinfacht und einfach geräteübergreifendes Arbeiten erlaubt.
Aber bei Haushaltsgeräten, Heizung und anderen "Lebenswichtigen" Sachen sollte man die Sicherheit und Unabhängigkeit eindeutig vor drittrangige Komfortfunktionen stellen.

Mfg Bimbo385
#3
customavatars/avatar188910_1.gif
Registriert seit: 21.02.2013
Brandenburg
Oberbootsmann
Beiträge: 830
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.



Ich finde es ehr dumm so etwas zu behaupten! ;)
Aber eigentlich ist Samsung der dumme der seine trauen Käufer ziemlich verarscht,ihre TVs sind auch sehr leicht hackbar und das Opfer bleibt der traue Käufer der sein hart verdientes Geld in so etwas rein steckt
#4
customavatars/avatar100019_1.gif
Registriert seit: 05.10.2008
AT - NÖ
Flottillenadmiral
Beiträge: 4951
Schaaatzzzz wer hat den Kühlschrank gehackt und 1000l Milch bestellt?
#5
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10755
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.

Für mich gilt nachwievor: Je weniger Elektronik in den Geräten steckt, desto besser.

Also da hiervon nicht das Leben abhängt... Komfort geht vor 100%tiger Sicherheit (die es sowieso nicht gibt)!

Bei digital gesteuerten Autos ist das eventuell etwas kritischer.
#6
customavatars/avatar18241_1.gif
Registriert seit: 21.01.2005

Flottillenadmiral
Beiträge: 5850
:HMM: wurde schon ein Tesla gehacked?
Weil den kann man ja auch mit autopilot kriegen.

MfG
#7
Registriert seit: 17.05.2007

Kapitänleutnant
Beiträge: 1712
Zitat jrs77;23803005
Gibt halt genug Dumme, die sich mit immer mehr vernetzten Geräten umgeben wollen. Selbst dran schuld, wenn man dann ständig Probleme damit hat.


Andere Menschen als dumm abzustempeln... Tralala so einfach ist die Welt....
#8
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 11785
Der jrs77 hat aber Recht. Vernetzte Haushaltsgeräte, so ein Schwachsinn. Die meisten
sind schon mit der WLAN Konfig. überfordert. Aber Hauptsache der Kühlschrank ist online und
mit Google-Konto verknüpft.
#9
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10755
Zitat MENCHI;23804189
Der jrs77 hat aber Recht. Vernetzte Haushaltsgeräte, so ein Schwachsinn. Die meisten
sind schon mit der WLAN Konfig. überfordert. Aber Hauptsache der Kühlschrank ist online und
mit Google-Konto verknüpft.

Das ist aber ne völlig andere Baustelle: Usability.
#10
customavatars/avatar182753_1.gif
Registriert seit: 28.11.2012

Hauptgefreiter
Beiträge: 245
Außerdem wird sich jemand, der kein WLAN einrichten kann, kaum einen Smart-Kühlschrank kaufen...

An sich finde ich den Trend allerdings auch unnötig.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Ohne Kabel: Bose QuietComfort 35 und B&O Beoplay H5 im Praxistest

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/BLUETOOTH-KOPFHOERER/QUIETCOMFORT_35_LOGO

Ist der 3,5-mm-Klinke-Anschluss überhaupt wegzudenken? Mit dieser Fragen werden sich ab dem Sommer sicherlich so einige Menschen beschäftigen müssen, denn offenbar plant Apple das Weglassen des Kopfhörer-Anschlusses. Doch eigentlich sollte es bei der drahtlosen Übertragung von Musik doch um... [mehr]

Netgear Arlo Pro im Test - Kabellose Überwachungskamera mit Cloud

Logo von IMAGES/STORIES/2017/NETGEAR_ARLO_PRO-TEASER

Netgears Arlo-Cams sind schon seit einiger Zeit auf dem Markt und sicher jedem ein Begriff, der schon einmal in Betracht gezogen hat, in seinen eigenen vier Wänden oder auf seinem Grundstück eine Video-Überwachung zu installieren. Jetzt gibt es mit Arlo Pro ein neues Top-Modell, das wir... [mehr]

Samsung Gear S3 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SAMSUNG_GEAR_S3_TEASER_KLEIN

Während das Android-Wear-Lager Pause macht, legt Samsung nach. Mit der auf der IFA 2016 vorgestellten Gear S3 bleibt man dem Konzept des Vorgängers treu, will hier und da aber Schwachstellen beseitigt und Stärken weiter ausgebaut haben. Das Ergebnis ist eine größere und schwerere Smartwatch,... [mehr]

Creative MUVO 2 und MUVO 2c im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/CREATIVE_MUVO_2_MUVO_2C

Wie lohnenswert das Geschäft mit Bluetooth-Lautsprechern für unterwegs sein muss, zeigt vermutlich kaum etwas so deutlich wie die unüberschaubare Anzahl an Anbietern. Abheben kann man sich entweder über den Preis oder Qualität und Ausstattung. Mit dem MUVO 2 und MUVO 2c zielt Creative auf die... [mehr]

Vernetzte Körperanalysewaage Withings Body Cardio im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/WITHINGS-BODY-CARDIO/TEASER

Mit der Body Cardio hat der Hersteller Withings eine Waage entwickelt, die umfangreiche Körperanalysefunktionen bietet und die gewonnenen Daten per WLAN oder Bluetooth synchronisiert. Voll im Trend der Vernetzung ist dabei auch eine Integration mit weiteren Fitness-Diensten möglich, um das... [mehr]

Gadget Guide: Vom Schloß bis zum Gimbal

Logo von IMAGES/STORIES/GALLERIES/NEWS/AKASPAR/IHERE_02_354BAFB24B7A4618B4D110606F2DC18C

Zu Weihnachten einen Gutschein bekommen, der in Smartphone-Zubehör umgesetzt werden soll? Dann wird die Wahl alles andere als leicht. Denn auch ohne die allgegenwärtigen Hüllen und Powerbanks ist das Angebot mehr als unübersichtlich. Vor allem, wenn noch nicht entschieden ist, was genau man... [mehr]