Abo
  • Services:
Anzeige
Die PIN-Übertragung wird nicht verschlüsselt.
Die PIN-Übertragung wird nicht verschlüsselt. (Bild: IO-Active)

Replay-Angriff: IoT-Alarmanlage hat nicht patchbare Sicherheitslücke

Die PIN-Übertragung wird nicht verschlüsselt.
Die PIN-Übertragung wird nicht verschlüsselt. (Bild: IO-Active)

Eine Sicherheitslücke wie im Film: Einbrecher deaktivieren die Alarmanlage, bevor sie in ein Haus eindringen. Die smarte Alarmanlage Simplisafe hat genau dieses Problem - und einen einfachen Patch gibt es leider nicht.

Der Hacker Andrew Zonenberg von IO-Active hat eine schwerwiegende Sicherheitslücke in der vernetzten Alarmanlage Simplisafe gefunden. Das Gerät verschlüsselt die Übertragung zwischen dem Keypad zum Eingeben der Pin und der Basisstation nicht und ist daher für Replay-Angriffe anfällig.

Anzeige

Ein Angreifer muss nur den Traffic auf dem ISM-Band mit 433 Mhz für die Sensoren und 315 Mhz für die Basisstation abhören. Die übertragenen Werte werden mittels Amplitudenumtastung (On-off-Keying) übertragen - eine Verschlüsselung findet nicht statt. Um das zu tun, benötigen Angreifer ein Mikrocontroller-Board, ein Simplisafe-Keypad und eine entsprechende Basisstation für etwa 250 US-Dollar. Der Angriff könne aber genauso gut mit einem Software-Defined-Radio durchgeführt werden, das schon deutlich günstiger zu haben sei, wird Zonenberg bei Forbes zitiert.

Nur Security by Obscurity

Weil die Datenübertragung unverschlüsselt abläuft, kann der Datenverkehr direkt mitgelesen werden. Das Protokoll ist nach Angabe von Zonenberg nicht standardisiert, die meisten Informationen werden im Klartext, einige "mit einer Form von Cipher, ohne Nonce oder Salt" übertragen. Mittels Reverse-Engineering gelang es dem Hacker, die übertragenen PIN-Codes zu isolieren. Er konnte die PIN zwar nicht im Klartext anzeigen - doch für eine Replay-Attacke reichten die abgefangenen Daten aus. Ein Angreifer muss sich innerhalb der Funkreichweite des Systems aufhalten.

Zonenberg bastelte sich für seinen Proof-of-Concept-Angriff mit dem Mikrocontrollerboard und einer umgebauten Simplisafe-Basisstation sowie dem Keypad ein Gerät, mit dem er den eingehenden Traffic auf 433 Mhz mitlesen konnte. Eine in C geschriebene Software analysiert dann den durchlaufenden Traffic und aktiviert eine grüne LED, um den Erfolg zu melden. Über den Sender des Keypads kann der Replay der PIN-Eingabe durchgeführt werden - die Alarmanlage ist deaktiviert.

  • Eine Simplisafe-Basisstation (Bild: IO-Active)
  • Die übertragene PIN (Bild: IO-Active)
  • Ein Simplisafe-Keypad (Bild: IO-Active)
  • Der Versuchsaufbau für den Hack (Bild: IO-Active)
Der Versuchsaufbau für den Hack (Bild: IO-Active)

Zonenberg geht davon aus, dass er auch Türsensoren von Simplisafe mit diesem Verfahren manipulieren könnte - getestet hat er das aber noch nicht. Damit könnte ein Angreifer dann auch Fehlalarme auslösen. IO-Active hat nach eigenen Angaben mehrfach versucht, mit dem Hersteller Kontakt aufzunehmen - bislang offenbar vergeblich.

Nur ein Austausch kann das Problem lösen

Die Lücke lässt sich nicht trivial patchen - denn die Keypads haben einen nur einmalig beschreibbaren Speicher, die notwendige Verschlüsselung lässt sich daher nicht einfach nachrüsten. Der Hersteller müsste also alle Keypads austauschen, um die Sicherheitslücke zu beheben.

Auf Anfrage von Forbes, das vorab Zugang zu den Informationen über die Sicherheitslücke hatte, sagte eine Sprecherin von Simplisafe, das Unternehmen wolle Hardware herausbringen, die Over-the-Air-Updates unterstütze. Kunden vorheriger Systeme sollen einen Rabatt bekommen, von einem Austausch ist nichts zu lesen. Simplisafe schreibt auch, dass Kunden eine Nachricht bekommen würden, wenn das System deaktiviert werde und daher zumindest ein bisschen geschützt seien. Unklar ist, ob diese Nachrichten nicht auch umgeleitet oder deaktiviert werden können.


eye home zur Startseite
Eheran 19. Feb 2016

Ja, dauerhaft sendende Schlüssel sind ziemlicher Bullshit. Zwar ist ein Angriff auf diese...

Tuxianer 19. Feb 2016

Funk an sich ist nicht das Problem. Wenn die Anlage draußen (Kasten mit Akku, Anzeige...

Tuxianer 19. Feb 2016

Ist doch eine Frage des Standpunktes: So eine Anlage ... Einschub: Eine wirkliche...

Tuxianer 19. Feb 2016

+1

Nullmodem 18. Feb 2016

abgesichert sein wird, wenn die Firma nicht einmal in der Lage ist, den Ansatz einer...



Anzeige

Stellenmarkt
  1. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg, Dortmund
  2. CEMA AG, verschiedene Standorte
  3. Daimler AG, Sindelfingen
  4. Bechtle IT-Systemhaus GmbH, Düsseldorf, Krefeld


Anzeige
Spiele-Angebote
  1. 79,98€ + 5€ Rabatt (Vorbesteller-Preisgarantie)
  2. (-67%) 19,99€
  3. (-20%) 35,99€

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

  1. In der Praxis: Alles über die Server von Skype

    delphi | 06:16

  2. Re: Unity weiter nutzen

    ve2000 | 04:56

  3. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 04:44

  4. Re: Unverschlüsselte Grundversorgung

    teenriot* | 04:41

  5. Re: The end.

    lottikarotti | 03:15


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel