Unsichere Protokolle

Ein inzwischen weit verbreitetes Protokoll für die Steuerung von Geräten im Heimnetzwerk ist Bluetooth. Zwar bietet Bluetooth eine AES-Verschlüsselung mit 128 Bit, jedoch wird sie nicht immer eingesetzt, da Verschlüsselung immer zulasten der Leistungsaufnahme und so der Akkulaufzeit eines Geräts geht. Hinzu kommt, dass die Verschlüsselung auch von der Länge der verwendeten PIN abhängt. Die maximale PIN-Länge von 16 Ziffern wird nur selten verwendet, da sie auch den Benutzerkomfort einschränkt. Per Brueforce lassen sich vier-, sechs- oder achtstellige PINs aber inzwischen mit Werkzeugen wie BTCrack ohne weiteres aushebeln.

Stellenmarkt
  1. Data Analyst (m/w/d)
    STABILA Messgeräte Gustav Ullrich GmbH, Annweiler am Trifels
  2. Teammitarbeiter*in (m/w/div) - Bereich Online-Agentur
    Deutsche Rentenversicherung Bund, Berlin
Detailsuche

Prominentes Beispiel für eine unzureichend abgesicherte Bluetooth-Verbindung ist die Toilettenschüssel Satis der Firma Lixil. Der Hersteller hat offenbar den Fehler gemacht, die Bluetooth-PIN in der Android-App hart zu codieren. So kann jeder, der sich die App "My Satis" herunterlädt und "0000" eingibt, eine Toilette des Herstellers kontrollieren.

Ein Argument für die Sicherheit von Bluetooth ist stets seine geringe Reichweite. Geräte, die die Bluetooth-Klasse 1 verwenden, können Signale noch in 100 Metern Entfernung empfangen. Aber selbst das Signal des inzwischen weit verbreiteten Bluetooth Low Energy lässt sich im Idealfall noch in zehn Meter Entfernung empfangen, also auch ein Signal aus dem fünften Stock eines Wohnhauses in einem Internetcafé auf dem Bürgersteig. Die Empfangsreichweite lässt sich zwar drosseln, das senkt aber wiederum den Komfort der Heimautomatisierung. Wer will schon von der Couch aufstehen, wenn er doch die Toilettenreinigung eigentlich per Fernsteuerung ausschalten kann?

Trotz jahrelanger Erfahrungswerte ist Zigbee unsicher

Das hierzulande noch wenig verbreitete Zigbee-Protokoll für die drahtlose Übertragung hat ähnliche Schwächen wie Bluetooth. Es gibt auch hier Verschlüsselung, die aber nicht zwingend umgesetzt werden muss. Zur Authentifizierung zwischen Zigbee-Geräten wird ein Masterschlüssel benötigt, der sich oftmals in der Firmware der Geräte befindet. Laut Bundesamt für Sicherheit in der Informationstechnik werden die MAC-Adressen jedes Zigbee-Geräts bei der Übertragung versendet, was das Tracking bei unzureichender Absicherung des Protokolls ermöglicht.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Zigbee wird oft auch für die Steuerung von Stromnetzen verwendet. Eigentlich sollte davon ausgegangen werden, dass dort entsprechende Sicherheitsmaßnahmen umgesetzt werden. Auch hier zeigen Forschungen, dass dem nicht so ist.

Es gibt noch weitere, weniger verbreitete Protokolle, etwa X-10 zur Steuerung von Leuchtmitteln oder das in den USA und teilweise in der Schweiz verwendete Protokoll Z-Wave. Auch dort haben IT-Sicherheitsforscher in der Vergangenheit Schwachstellen entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Router sind die Tore zum SmarthomeKNX oder die Unsicherheit geschlossener Systeme 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9.  


Leichse 09. Jan 2015

Also, ich kann 30 Sekunden, nachdem ich den Topf runterziehe auf meine Herdplatte...

baz 21. Dez 2014

APPs gibt es wie Sand am Meer, da wirst du immer eine passende finden. Ich persönlich...

Donnergurgler 18. Dez 2014

Denkt man mal an körperlich beeinträchtigte Menschen, die froh sind, wenn sie alles...

Garius 16. Dez 2014

Dein Post wiederum zeigt mal wieder wunderbar, wie wenig die Leute in der Lage sind...

baz 16. Dez 2014

Dummerweiße wohne ich in einer Wohnung. Sprich sie wäre bloß in das Treppenhaus gekommen...



Aktuell auf der Startseite von Golem.de
Open-Source-Sprachassistent Mycroft
Basteln mit Thorsten statt Alexa

Das US-Unternehmen Mycroft AI arbeitet an einem Open-Source-Sprachassistenten. Die Alexa-Alternative ist etwas für lange Winterabende.
Ein Praxistest von Thorsten Müller

Open-Source-Sprachassistent Mycroft: Basteln mit Thorsten statt Alexa
Artikel
  1. Geforce RTX 3050 im Test: Wir hätten gerne einen Steam-Liebling gesehen
    Geforce RTX 3050 im Test
    Wir hätten gerne einen Steam-Liebling gesehen

    Upgrade dank DLSS und Raytracing: Die Geforce RTX 3050 ist die erste Nvidia-Grafikkarte mit diesen Funktionen für theoretisch unter 300 Euro.
    Ein Test von Marc Sauter

  2. Hosting: Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten
    Hosting
    Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten

    Die Server aus seiner Auktion kann der Hoster Hetzner offenbar nicht kostendeckend betreiben. Das könnte die ganze Branche betreffen.

  3. Pwnkit: Triviale Linux-Lücke ermöglicht Root-Rechte
    Pwnkit
    Triviale Linux-Lücke ermöglicht Root-Rechte

    Zum Ausnutzen der Sicherheitslücke in Polkit muss der Dienst nur installiert sein. Das betrifft auch Serversysteme. Exploits dürften schnell genutzt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /