Zahl oder frier: Thermostate können per Ransomware gekapert werden
"Smart Home" ist eines der ganz großen Stichworte der jüngsten Zeit, die Anbieter versuchen unter dem Stichwort "Internet der Dinge" alle bisher "dummen" Geräte per Vernetzung intelligenter zu machen. Besonders beliebt sind auch Thermostate, die man u. a. von der Ferne aus bedienen kann. Wie nun auf einer Sicherheitskonferenz gezeigt wurde, ist das aber nicht ohne Gefahren.
Smarte Thermostate wie das von Google bzw. Alphabet vor einer Weile aufgekaufte Nest sind eine praktische Sache. Eine derartige Temperatursteuerung funktioniert "intelligent" und lernt gewissermaßen dazu, Nest etwa passt sich automatisch an die Gewohnheiten des Nutzers sowie die jahreszeitlichen Besonderheiten an. Überdies kann ein solches System per Smartphone-App aus der Ferne gesteuert werden.
Theoretisches Szenario
Doch auf der bekannten Hacker-Konferenz Defcon haben Sicherheitsexperten demonstriert, wie man solche smarten Heimgeräte kapern kann und auf sie so genannte Ransomware, also erpresserische Software, aufspielen kann. Das bedeutet, dass Hacker - theoretisch - in der Lage sind, die Temperatureinstellung zu kapern und für die Freigabe Geld zu verlangen, ganz nach dem Motto "Zahle uns ein Bitcoin, wenn du im Winter mehr als 0 Grad Celsius haben willst."
Wie
Motherboard berichtet, haben die Entdecker dieser Angriffsvariante, Andrew Tierney und Ken Munro, bei der auf der Defcon in Las Vegas demonstrierten Methode keine bösen Absichten, sondern wollen damit aufmerksam machen, dass es in IoT-Anwendungen und -Szenarien noch so manche Lücke gibt.
Es ist also - ganz typisch für solche Konferenzen - eine Machbarkeitsstudie ("Proof of Concept"), die den Herstellern zu denken geben soll. Tierney und Munro haben einen derartigen Angriff auch live demonstriert, wollten aber nicht verraten, um welchen Hersteller oder welches Modell es sich handelt, da man den Anbieter noch nicht ausreichend über den ausgenutzten Bug in Kenntnis setzen konnte.
Beim besagten Fehler handelt es sich um die Möglichkeit, per SD-Karte auf das Display eigene Hintergründe aufspielen zu können. Dabei wird aber nicht überprüft, welche Dateien ausgeführt werden, was man theoretisch für Malware ausnützen kann. Dabei geben Tierney und Munro zu, dass eine derartige Attacke nicht leicht durchzuführen sei, da man den Nutzer dazu bringen muss, vor Ort eine manipulierte Datei aufzuspielen. Unmöglich sei das aber auch nicht, da man sie beispielsweise über (gefälschte) Hersteller-Nachricht täuschen könnte.
Quelle