Sicherheit bei Vernetzung der IoT-Produkte

Sicherheitsmechanismen von IoT-Produkten ausreichend?

Konsumenten und Hersteller diverser IoT-Produkte stehen durch die boomende Entwicklung des Internet der Dinge (Internet of Things, IoT) vor ungeahnten Herausforderungen. Experten gehen davon aus, dass schon im Jahr 2020 mehr als 30 Milliarden Geräte weltweit miteinander vernetzt sein werden, ein Nährboden für potentielle Angriffsziele. Im Wandel zur Industrie 4.0 werden auch industrielle Anlagen, Einrichtungen und Roboter im Fokus stehen. Der Ruf nach einem diesen Anforderungen angemessenen Sicherheitsmanagement seitens führender Unternehmen wird laut. Werden diese den gesetzten Erwartungen in sie gerecht?

Steven Spielberg erschuf mit seinem 1982 veröffentlichten, oskar-prämierten Science-Fiction-Kindermärchen E.T. the Extra-Terrestrial einen der profitabelsten und prägendsten Hollywood-Spielfilme aller Zeiten. Die Geschichte eines guten Ausserirdischen, der in einer US-amerikanischen Vorstadt nach überstürztem Aufbruch seiner Mitreisenden Obhut in einer Durchschnittsfamilie sucht, ergriff Menschen unterschiedlichen Alters rund um den Globus. Das Filmzitat E.T. nach Hause telefonieren erreichte im englischen Original in der entsprechenden Liste des American Film Institutes, veröffentlicht am 21. Juni 2005, Platz 15 der 100 besten Filmzitate aus US-Filmen aller Zeiten. Dass Staubsaugerroboter E.T. im Willen, mit ihrem Zuhause in (ständigem) Kontakt zu treten, übertrumpfen könnten, überrascht. Der tägliche Einsatz des maschinellen Bodenreinigers verursacht zuweilen bis zu 100 Gigabyte Log-Dateien jeden einzelnen Monat. Nicht alles davon landet jedoch automatisch auf den Servern der Hersteller. Im Regelfall werden die anfallenden Daten im Speicher (MMC) des jeweiligen Geräts abgelegt und erleichtern so zum Beispiel die Einsicht in zurückliegende Reinigungsvorgänge, in gespeicherte Reinigungskarten und vieles mehr. In zahlreichen Versuchen, die Hardware zu überlisten und Zugang zu Staubsauberrobotern des ehemaligen chinesischen Startups Beijing Roborock Technology Co., Ltd. zu erlangen, konnte die Marke, die durch den Hightech-Konzern Xiaomi Tech mit Firmensitz in Peking teilfinanziert wird, beweisen, dass man das Thema Sicherheit durchaus ernst nimmt.

Unabhängig vom Modell (Xiaomi Mi Vacuum Robot, Roborock Sweep One, Roborock Xiaowa E2 usw.) dürften viele BesitzerInnen keinerlei Kenntnis über derartige Datenmengen haben. Oder über jene Informationen, welche übersendet werden. So nützlich die neuartigen Haushaltshelfer auch sein mögen, so schockierend wirken die Erkenntnisse des Sicherheitsforschers Dennis Giese, welcher sich bereits im vergangenen Jahr dem Hack eines Xiaomi Mi Vacuum Robot widmete und seine Erkenntnisse zusammen mit Daniel Wegemer auf der 34. Chaos-Communication-Congress preis gab. Auf Anfrage bestätigte der Spezialist für Computer- und Netzwerksicherheit die bereits im August anlässlich eines Vortrags auf der 26. DEF CON Hacking Conferene gemachte Aussage. Giese, Student der Technischen Universität Darmstadt, ist aktuell tätig als Researcher an der US-amerikanischen Northeastern University sowie Student am Massachusetts Institute of Technology, kurz MIT. Er untersuchte im Verlauf der letzten beiden Jahre mehr als 160 IoT-Geräte (Abkürzung für Internet of Things), darunter Kameras, Staubsaugerroboter, Router oder auch drahtlose Lautsprecher auf mögliche Sicherheitslücken hin.

Sicherheitsmechanismen geknackt

Mit seinen Forschungsergebnissen konfrontierte Giese den Hightechkonzern Xiaomi Tech unter anderem anlässlich der 2. AIOT Entwicklerkonferenz (MIDC) in Peking am 29. November, einer Konferenz für KI-Forscher, IoT-Industrie, Entwickler, Sicherheitsexperten und Open Source-Enthusiasten. Je nach Gerätekategorie und Hersteller gäbe es nur bedingten Anlass zur Sorge. In einem früheren Vortrag, gehalten bereits am Samstag, den 11. August 2018 in Las Vegas (Nevada), hatte der Spezialist für Computer- und Netzwerksicherheit bereits bestätigt, dass verschiedene Xiaomi Tech untergeordnete Unternehmen, welche ihre IoT-Devices über die Mi-Home Anwendung des Techkonzerns steuern lassen, mitunter Sicherheitslücken aufweisen. Unter einigem Aufwand gelangte der Forscher auf sicherheitssensible Geräte wie einen Router. Hierfür sei nicht einmal eine Öffnung des Gehäuses notwendig, kenne man die Lage der seriellen Schnittstellen, über die ein direkter Zugang möglich sei. Die für den Betrieb der überwiegend zugekauften Hardware (CPU, Mainboard-Layout, konnektive Schnittstellen wie WLAN- oder Bluetooth-Chipsatz usw.) benötigte Software weise zumindest partiell verschiedene Schwachstellen auf:

  • Bei einigen der getesteten Geräte sei die Firmware nur unzureichend auf das jeweilige Gerät angepasst. Verwendete SDKs der Chiphersteller lägen fast im Original vor. Kenne man ein Software-Development-Kit erst einmal, finde man dieses in sehr ähnlicher Form auch auf anderen Geräten mit gleicher Hardware wieder und könne so aus dem Vollen hinsichtlich der gewonnenen Erfahrungen schöpfen. Dies sei jedoch grundsätzlich ein herstellerübergreifendes Phänomen, keines, welches ausschließlich und vordergründig Xiaomi  Tech oder dessen Partnerunternehmen anzukreiden sei.
  • Aufbau und Struktur der Software zeigten über Produktgruppen hinaus folglich starke Ähnlichkeit, sodass einmal mit zentralem Code vertraute Angreifer leichtes Spiel bei neuen Geräten hätten.
  • Die Programmierung der Firmware zeige bein einigen Produkten einen Mangel an Sorgfalt, sodass beispielsweise wichtige Zugangsdaten von Vorserienmodellen in der finalen Version Einzug gehalten hätten und nun durch Dritte ausgelesen werden könnten.
  • Firmware-Pakete würden teils ungesichert über HTTP übertragen und ließen sich so ohne größeren Aufwand abgreifen, modifizieren und einspielen. Auch fehle bei manchem Gerät die Überprüfung per md5-Checksumme, um die Originalität, Unversehrtheit und Korrektheit sicher zu stellen.
  • Möglichkeiten der Verschlüsselung würden nicht annähernd ausgereizt, dies zeige beispielsweise der individuell für jedes Gerät erzeugte Token mit einer Schlüssellänge von 256 Bit (AES), einem Entropie-Grad von nur 31 Bit (Entropie bezeichnet den Grad der Zufälligkeit, mit der ein Kennwort aus einer Menge x an Symbolen zusammengestellt wird, dabei gilt, je höher der Entropie-Grad, desto sicherer der erzeugte Schlüssel – ein Wert von 80 bit oder höher gilt unter heutigen Maßstäben als sicher).
  • Verschlüsselungsmechanismen kämen bei einigen wenigen Produkten teils überhaupt nicht zum Zuge, obwohl derartige Optionen im Code selbst vorbereitet zu finden seien, aber nicht zur Anwendung kämen.
  • Passwörter würden produktspartenweit verwendet, beispielsweise besäßen alle Kameras eines Herstellers ein und dasselbe.
  • Gewählte Passwörter lägen zum Teil hartkodiert vor. Kalifornien hat derlei Praktiken mit der Gesetzesgrundlage „Security of Connected Devices“ (§1798.91.04(a)(3)), erlassen am 28. September 2018, einen Riegel vorgeschoben. Standards wie admin, 12345 oder password gehören im Sonnenstaat ab 01. Januar 2020 der Vergangenheit an. Jedes IoT-Device muss von diesem Zeitpunkt an über ein individuelles Kennwort verfügen. Gleichfalls wird jeder Nutzer dazu gezwungen, bei Erstinbetriebnahme neue Daten zur Authentifizierung zu hinterlegen.
  • Vorgegebene Passwörter  entsprächen in Ausnahmefällen nur unzureichend geltenden oder empfohlenen Sicherheitsstandards (bspw. „rockrobo“ als Verschlüsselungskey), das jeweilige Root-Kennwort für den Zugang zu Rockrobo Sweep One & Xiaomi Mi Vacuum Robot hingegen werde individuell für jeden Roboter erstellt.
  • Selbst bei Verschlüsselung mache man es potentiellen Angreifern unter Umständen leicht, indem man veraltete Verfahren wie DESCrypt Passwort Hashing verwende.
  • Für den Betrieb des Endgerätes unnötige, anwendersensible Daten wie Werte zur Lokalisation würden erhoben, ohne den oder die BesitzerIn darüber zu informieren.
  • Quellcode sei aufgrund der geringen oder unzureichenden Sicherheitsbarrieren (iptables Firewall über ipv6 überwindbar) über Umwege auslesbar.
  • Diagnose- und/oder serielle Zugangsschnittstellen seien dankbare Einfallstore für den Zugriff auf die installierte Firmware.

Hersteller & Kundschaft gleichermaßen in der Pflicht

Xiaomis Cloud beherberge bisweilen über 85 Millionen Geräte aus insgesamt über 800 verschiedenen Kategorien. Verantwortlich für die verschiedenartigen Produkte zeichneten unterschiedliche Firmen wie Roborock, Yeelight oder auch Lumi. Allen dem Xiaomi-Ökosystem angehörenden Produkten sei die Tatsache gemein, dass sie dasselbe Kommunikationsprotokoll nutzten, die Verantwortung hinsichtlich der Software-Implementation bei den einzelnen Unternehmen selbst liege. Dabei unterscheide sich die Qualität der Modifikationen von Fall zu Fall teilweise stark. Sicherheit sei demnach nur dann gewährleistet, wenn der Produkthersteller die  eigene Aufgabe der Softwareentwicklung verantwortungsvoll wahrnehme.

Die Sensibilität für Sicherheit dürfte bei vielen Konsumenten je nach Produktgruppe immer noch stark differieren. Werden derartige Sicherheitslücken bei WLAN- und Bluetooth-Lautsprechern möglicherweise noch als hinnehm- oder ertragbares Risiko interpretiert, wirkt die Annahme einer von Schadsoftware befallenen WLAN-Kamera hingegen beängstigend. In Anbetracht der in einigen Fällen unzureichenden Absicherung getester IoT-Produkte scheint Handlungsbedarf zu bestehen. Dem komme Xiaomi nach, wie Giese bestätigt. Produkte unter dem Label der Chinesen gehörten im Vergleich zu Mitbewerbern noch zu den sichereren. Xiaomi und Geschäftspartner leisteten sich als im IoT-Bereich aktive Konzerne zwar Flüchtigkeitsfehler oder Missgriffe durch unbedachtes Handeln, man reagiere jedoch sehr zeitnah auf Kritik und patche gleichfalls schnell offene Lücken. Insbesondere das Thema Datenschutz nehme Xiaomi Tech sehr ernst. Seit 2017 zeichne ein Compliance Manager allein dafür verantwortlich, dass geltende Sicherheitsstandards des Unternehmens auch in Beteiligungsfirmen beachtet und eingehalten würden, beruhigt der Sicherheitsforscher. Sensible Daten europäischer Betreiber von Kameras, Robotern und Co. seien in sicherer Hand, selbst dem chinesischen Regime gewähre man darauf bis dato keinerlei Zugriff.

Dies sei keinesfalls im Interesse des spätestens nach Abgang des ehemaligen Vice President of International Hugo Barra neu ausgerichteten internationalen Geschäfts. Xiaomi operiert und agiert mittlerweile global. Vornehmlich im Segment der Smartphones kann das chinesische Techunternehmen große Erfolge verzeichnen, wenn auch die Marktanteile zwischenzeitlich leicht rückläufig waren. Ein Interesse daran, Nutzerdaten mit Regierungsstellen zu teilen, bestehe aus Gieses bisherigen Erfahrungen mit der chinesischen Branchengröße nicht. Wie lange Xiaomi die freiwillige Verpflichtung zugunsten des Datenschutzes der eigenen Kundschaft gegenüber Parteiinteressen behaupten kann? Man wird sehen. Möchte man Menschen aus Europa, Indien oder den USA langfristig binden, ist Verschwiegenheit oberstes Gebot.

Gerade Staubsaugerroboter werden in Form verschiedener Modelle bereits 2019 inkl. mehr oder minder hochauflösender Kamera ausgestattet als Smart-Home-Devices weltweit die Wohnzimmer zahlungskräftiger KundInnen erobern. Unter den gegebenen Umständen wirkt diese Entwicklung zumindest oberflächlich betrachtet bedenklich und teils fragwürdig. Allzu leicht sei es schließlich nicht möglich, derartige Endgeräte nach Ermittlung der Schwachstellen zu übernehmen und zum Schaden der jeweiligen im Besitz befindlichen Person zu verwenden. Auf Anfrage Gieses reagierten Hersteller ganz unterschiedlich. Xiaomi sei dahingehend ein echtes Vorbild. Hinweise zu Schwachstellen im Code würden umgehend an die betroffenen Geschäftspartner weitergeleitet, deren Ausmerzung werde zudem kontrolliert. Andere chinesische Unternehmen reagierten hingegen nur selten zeitnah auf Optimierungsvorschläge, ihr Verhalten zeuge zuweilen von Untätigkeit. Gefragt sei nicht nur die Aktualisierungsbereitschaft der Produktentwickler. Stünden zeitnah Updates zur Schließung derlei Sicherheitslücken nach Bekanntwerden der Schwachstellen zur Verfügung, sei der bzw. die NutzerIn selbst in der Pflicht, das jeweilige Gerät aktuell zu halten. So entstehe aus dem Zusammenspiel aus herstellerseitigem Abwägen zwischen Einsparungspotential und Richtlinien gemäß Vorgaben zu Themen wie Sicherheit und Datenschutz sowie endanwenderseitiger Bequemlichkeit hinsichtlich der Softwarepflege eine Gemengelage, die es Dritten bei einzelnen Geräten ermögliche, bei ausreichend Sachverstand und Vorkenntnissen Zugang zu solchen Geräten zu erlangen. Grund zur Panik sei jedoch keinesfalls gegeben.

WLAN-Einbindung – Schutz & Übel

Eindringlich, so Giese, sei davon abzuraten, WLAN-fähige Roboter u.a. aus Sorge des Verlustes sensibler Daten unkonfiguriert zu betreiben. Dies ermögliche es potentiellen AngreiferInnen, Geräte zu kapern und zu eigenen Zwecken zu verwenden, zum Nachteil des bzw. der EignerIn. In jedem Falle sei angeraten, Musikbox, Roboter und Co. in ein bestehendes Netzwerk einzubinden, um Missbrauch in einem ersten Schritt zu verhindern. Nachteilig sei noch immer, dass viele der untersuchten Produkte selbst bei Löschvorgang gemäß der mitgelieferten Bedienungsanleitung einmal gespeicherte Daten zur SSiD, WLAN-Schlüssel usw. beibehielten. Während Rockrobo auf etwaige Kritik bereits reagiert habe und auf ihren Robotern, ausgestattet mit einer der aktuellen Firmware-Versionen (Stand Dezember 2018) gespeicherte Log-Dateien mittlerweile zum Vorteil der Kundschaft verschlüssele, sei das noch lange kein Branchenstandard im IoT-Segment. Zugangsdaten und sonstige Überbleibsel einer voran gegangenen Gerätenutzung seien im Einzelfall möglicherweise durch Dritte – ausreichende Kenntnisse vorausgesetzt – nach Erwerb des Geräts (ohne größere Anstrengungen) auszulesen. Auf diese Weise gebe man sorgsam gehütete Daten allzu leicht preis. Gleiches gelte beispielsweise für gebraucht gekaufte Staubsaugerroboter, die möglicherweise über eine angepasste, schadhafte Firmware verfügten, um im neuen Haushalt fleißig spionieren zu gehen. Grundsätzlich seien am Ende die Hersteller gefragt, ein System zu entwickeln, das im Idealfall Zugriffe auf eine Cloud unnötig machte, da nur im heimischen Netzwerk kommuniziert werde.

Hersteller in der Pflicht

Für die breite Kundschaft ohne Ambitionen zum Erlernen von und Kenntnisse in Programmiersprachen dürften derartige Sicherheitslücken ohnehin kaum bis nicht nachvollziehbar sein. Xiaomi sowie Geschäftspartner Rockrobo scheinen durch umfangreiche Sicherheitsmaßnahmen dafür Sorge zu tragen, dass personenbezogene Daten sicher verwahrt bleiben. An anderen Punkten sollte jedoch dringend nachgebessert werden. So werden zum Beispiel gespeicherte sensible Informationen wie WLAN-Zugangsdaten nicht vollends aus dem Speicher des Staubsaugerroboters gelöscht, können beispielsweise nach einem Verkauf des Endgeräts durch andere Personen ausgelesen werden. Des Weiteren besteht noch immer keine Möglichkeit, IoT-Geräte wie einen Xiaomi Mi Vacuum Robot ohne manuellen Eingriff des Rootens autark im heimischen Netzwerk zu betreiben, ohne beständigen Rückgriff auf Serverdienste in einem anderen Land. Noch immer bestehen bei einigen wenigen smarten Produkten Lücken bei der Kommunikation zwischen Endgerät und Server, hier ist der jeweilige Hersteller gefragt, die Verbindung derart hermetisch abzuriegeln, dass ein Ausspionieren durch unlautere Maßnahmen unmöglich wird. Andererseits bliebe dann für interessierte Betreiber eines solchen keine Möglichkeit mehr, sich über die ausgetauschten Daten des eigenen Geräts in Kenntnis zu setzen. Noch striktere Sicherheitsvorkehrungen haben eben auch ihren Nachteil, ein zweischneidiges Schwert.

China ist weit weg. Es liegt einzig in jener Hand des Unternehmens selbst, den Umgang mit kundenspezifischen Daten verantwortungsvoll zu gestalten, im Sinne des Endkunden. Dem Konsumenten bleibt bisweilen nur, Herstellern wie Rockrobo, Ecovacs oder auch iRobot bereits bei Kauf eines Produktes hinsichtlich erfolgter als auch künftiger Sicherheitsmechanismen und -Updates ausreichend Vertrauen entgegenzubringen oder aber auf Produkte aus dem IoT-Segment gänzlich zu verzichten. Den wenigsten dürfte dies ohne größere Entbehrungen gelingen. Die Entwicklungen am Markt sprechen dafür. Branchenriese Amazon kämpft derweil aufgrund der pünktlich zum Weihnachtsgeschäft erhöhten Verkaufszahlen in der Sparte Alexa-Produkte mit Server-Schwierigkeiten angesichts der dramatisch gewachsenen Neuaktivierungen. Bleibt zu hoffen, dass Sicherheitsforscher wie Dennis Giese auch weiterhin ihren Dienst für die Gesellschaft so bereitwillig erfüllen, indem sie den Herstellern gezielt auf die Finger schauen und ihre hierbei gewonnenen tiefgründigen Erkenntnisse Interessierten zur Verfügung stellen.  Die Erkenntnisse zu Roborocks Robotern zeigen, dass die konzerneigenen Entwickler ihre Aufgabe durchaus ernst nehmen. Wie es bei anderen Herstellern aussieht, wird sich möglicherweise schon bald zeigen. Herzlichen Dank, Dennis!

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.