Nexx: Lücke ermöglicht Öffnen von Garagen auf der ganzen Welt

Mit einer Sicherheitslücke lassen sich Garagentore öffnen und Alarmanlagen deaktivieren. Der Hersteller Nexx hat bisher nicht reagiert.

Artikel veröffentlicht am ,
Noch sind die Garagen zu.
Noch sind die Garagen zu. (Bild: Erik Mclean/Unsplash)

Sicherheitsforscher habe etliche Sicherheitslücken in den Geräten der Marke Nexx gefunden, mit denen sich Garagentore öffnen und schließen sowie Steckdosenadapter und Alarmanlagen einschalten und deaktivieren lassen. Durch die Sicherheitslücken können auch Angreifer die Garagentore öffnen oder die Alarmanlagen deaktivieren. Die Geräte werden weltweit eingesetzt, Patches sind nicht verfügbar.

Nexx wirbt mit "einfach zu bedienenden Produkten, die mit Dingen funktionieren, die Sie bereits besitzen". Die Nexx-Geräte lassen sich via Wi-Fi an das Internet anschließen und per Nexx-App über eine Cloud steuern. Dabei legt Nexx laut eigenen Angaben "Wert auf Privatsphäre" und verwendet "aktuellste Sicherheitsstandards für IoT-Geräte". Dass es damit nicht weit her ist, entdeckte der Sicherheitsforscher Sam Sabetan.

Trotz der Werbeversprechen und eines selbst ausgelobten "fantastischen Kundensupports" reagierte Nexx über Monate nicht auf die gemeldeten Sicherheitsprobleme. Auch auf Hinweise durch das Onlinemagazin Motherboard reagierte das Unternehmen nicht. Nun hat der Sicherheitsforscher Informationen zu den Lücken veröffentlicht. Auch die US-Behörde Cisa warnt vor den Lücken.

Universelle Zugangsdaten in der Firmware

Ein Sicherheitsproblem sind universelle Zugangsdaten – hardcodiert in der Firmware (CVE-2023-1748). Mit den Zugangsdaten könne sowohl die Privatsphäre der Nutzer als auch die Sicherheit der Nexx-Infrastruktur untergraben werden, erklärte der Sicherheitsforscher. So habe er unter anderem die E-Mail-Adressen, Geräte-IDs und Vornamen von anderen Nexx-Nutzern auslesen können.

Zudem könnten Befehle wie das Öffnen einer beliebigen Garage oder dem Deaktivieren einer Alarmanlage gesendet werden. Das gelte auch für smarte Steckdosen, die auf diese Weise ein- oder ausgeschaltet werden könnten, um etwa die Christbaumbeleuchtung oder die Überwachungskamera zu deaktivieren, erklärte Sabetan.

Von den Sicherheitslücken seien mindestens 40.000 Nexx-Geräte beziehungsweise 20.000 Nutzer betroffen, schreibt der Sicherheitsforscher. Mit weiteren Sicherheitslücken ist es beispielsweise Dritten möglich, ein bereits registriertes Nexx-Gerät mit der eigenen Mac-Adresse zu registrieren und damit zu übernehmen oder Geräteinformationen abzurufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Abus-Alarmanlage
RFID-Schlüssel lassen sich klonen
artikel-bild
Schadsoftware
Neue Linux-Malware spielt verstecken
artikel-bild
Uclibc
Alte DNS-Lücke betrifft viele IoT-Geräte
Meistgelesen
artikel-bild
Blue Byte
Im Bann der ersten Siedler
artikel-bild
System Shock Remake angespielt
Die Kult-KI Shodan kämpft frisch entfesselt
artikel-bild
Street Fighter 6 im Test
Modern auf die Mütze
Kommentarübersicht
Re: Analyse getnexx.com ...
M.P. 09. Apr 2023 / Themenstart

Wer behauptet, dass Huawei Hintertüren für die NSA einbaut?

Re: Yay Cloud!
hellfire79 08. Apr 2023 / Themenstart

[ ] Du hast den Artikel gelesen und verstanden. Das grundlegende Problem bei IoT ist...

Re: Ja und?
Lasse Bierstrom 08. Apr 2023 / Themenstart

Die Sender sind zu billig, als dass sie Sicherheit umsetzen können. In...

Re: Warum immer so kompliziert?
1ras 07. Apr 2023 / Themenstart

Wäre interessant ob und wenn ja wann dies umgesetzt wurde. Ich kenne es aus leidlicher...

Kommentieren

Aktuell auf der Startseite von Golem.de
Apple
iPhone 15 soll mit USB-C und neuem Mute-Button kommen

Erste Dummys der kommenden iPhone-15-Reihe verraten bereits ein paar interessante kleinere Details - der Mute-Button etwa wird ersetzt.

Apple: iPhone 15 soll mit USB-C und neuem Mute-Button kommen
Artikel
  1. Vertriebsmasche: Teures Highspeed-Internet ohne erforderliche Glasfaser
    Vertriebsmasche
    Teures Highspeed-Internet ohne erforderliche Glasfaser

    Drücker verkaufen Datenraten, die ohne Glasfaser noch gar nicht geliefert werden können. In Hamburg gibt es dazu Beschwerden.

  2. Pay-TV und Streaming: ProSiebenSat1 ist wieder an Sky-Übernahme interessiert
    Pay-TV und Streaming
    ProSiebenSat1 ist wieder an Sky-Übernahme interessiert

    Sky-Eigentümer Comcast will den deutschen Pay-TV-Sender diesmal wohl auf jeden Fall loswerden. Von einer Mitgift von mehreren Hundert Millionen Euro ist die Rede.

  3. Anga Com: Von der Kabelmesse zum spannenden Glasfaser-Branchentreff
    Anga Com
    Von der Kabelmesse zum spannenden Glasfaser-Branchentreff

    Anga Com Die deutsche Kabelnetzbranche will sich nicht zu Docsis 4.0 positionieren. Glasfaser ist das Hauptthema auf der Anga Com gewesen.
    Ein Bericht von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: 14 Grafikkarten im Sale • Logitech G Pro Wireless Maus 89€ • Amazon-Geräte für Alexa bis -50% • The A500 Mini 74,99€ • Logitech G213 Prodigy Tastatur 49,90€ • Crucial P5 Plus (PS5-komp.) 1TB 71,99€, 2TB 133,99€ • HyperX Cloud II Headset 62,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /