Abo
  • Services:

Sicherheitslücke: Lifx-LED-Lampe verrät WLAN-Passwort

Sicherheitsexperten haben erfolgreich eine LED-Lampe mit WLAN-Mesh-Funktion angegriffen. Der Weg ist zwar recht aufwendig, könnte aber die Vorlage für weitere Forschung sein, denn im drahtlosen Smarthome gibt es zahlreiche neue Geräte mit potenziellen Sicherheitslücken.

Artikel veröffentlicht am ,
Wer eine Lifx-Lampe einsetzt, sollte das Sicherheitsupdate installieren.
Wer eine Lifx-Lampe einsetzt, sollte das Sicherheitsupdate installieren. (Bild: Lifx)

In den Lifx-LED-Lampen befindet sich eine Sicherheitslücke, die das Passwort des eigenen WLANs preisgibt, wenn sie ausgenutzt wird. Das fanden die Sicherheitsforscher von Context Information Security bei Experimenten mit den Lampen heraus.

Stellenmarkt
  1. UnternehmerTUM GmbH, Garching bei München
  2. über experteer GmbH, Stuttgart

Bei den Lifx-LED-Lampen handelt es sich um Leuchtmittel, die dem Smarthome zugeordnet werden können. Sie werden per App gesteuert und können in ihrer Lichtfarbe angepasst werden. Zudem besitzen die Lampen die Fähigkeit, ein WLAN-Mesh-Netzwerk aufzubauen. Dazu muss nur eine Lampe Kontakt mit der Außenwelt haben. Die Lampen untereinander sorgen dafür, dass das WLAN-Netzwerk weiterhin aktiv bleibt - ganz ohne Controller. Das deutete auf eine Designschwäche hin, die Context untersuchen wollte, denn die Lampen müssen untereinander das WLAN-Passwort austauschen.

Da es zum Zeitpunkt des Hacks an der Lampe noch kein herunterladbares Firmware-Image gab, behalfen sich die Forscher anderweitig. Sie extrahierten die Firmware mit Hilfe der JTAG-Pins direkt vom kleinen Mainboard der Lampe. Die Firmware war essentiell für die Untersuchung der Lampen, da die Lampen untereinander verschlüsselt kommunizieren.

Im Laufe des Reverse Engineering fanden sie heraus, dass die Verschlüsselung zwischen den Lampen zwar AES-gesichert ist, der globale Schlüssel zur Entschlüsselung sich jedoch in allen Lampen befindet. Den Algorithmus konnten die Forscher eigenen Angaben zufolge vergleichsweise einfach aus der Firmware extrahieren. Dasselbe galt für den Schlüssel.

Mit Hilfe dieser Informationen waren dann alle Lampen anfällig für einen Angriff auf das Mesh-Netzwerk. Mit Hilfe von manipulierten WLAN-Paketen konnten die Forscher den Lampen den WLAN-Schlüssel entlocken, der für das Mesh-Netzwerk an andere Lampen verteilt wurde. Die App wurde dabei nicht von den Lampen benachrichtigt, dass sich eine vermeintlich neue Lampe im Mesh-Netzwerk anmeldete, um den WLAN-Code zu bekommen.

Die Lifx-Lampen werden hierzulande nur von wenigen Händlern verkauft. Wer ein derartiges Leuchtmittel im Einsatz hat, sollte die aktuelle Firmware 1.3 in seine Lampen einspielen. Diese steht unter http://updates.lifx.co/ bereit, da die Sicherheitsforscher sich für Responsible Disclosure entschieden haben. Der Hersteller wurde über die Entdeckung der Sicherheitslücke vorab informiert.



Anzeige
Top-Angebote
  1. 1.099€

fbfb 08. Jul 2014

Wenn es einen Key für alle Geräte weltweit gibt, ist das sehr wohl ein Problem. Eine...

nille02 08. Jul 2014

Nicht wollen stimmt nicht, es ist nur extrem nervig. Dabei kann ich schon einige...


Folgen Sie uns
       


Oneplus 6 - Test

Das Oneplus 6 ist das jüngste Smartphone des chinesischen Herstellers Oneplus. Wie seine Vorgänger bietet auch das neue Gerät wieder hochwertige Hardware zu einem günstigeren Preis als bei der Konkurrenz. Auf echte Innovationen müssen Käufer allerdings verzichten - was angesichts des Preises aber machbar ist.

Oneplus 6 - Test Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

SpaceX: Rundum verbesserte Falcon 9 fliegt zum ersten Mal
SpaceX
Rundum verbesserte Falcon 9 fliegt zum ersten Mal

Landen, Auftanken und 24 Stunden später wieder starten. Das will SpaceX mit der neusten und endgültigen Version der Falcon-9-Rakete erreichen. In der letzten Nacht hat sie erfolgreich einen Satelliten für Bangladesch in den Orbit gebracht.
Von Frank Wunderlich-Pfeiffer


    Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
    Projektoren im Vergleichstest
    4K-Beamer für unter 2K Euro

    Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
    Ein Test von Martin Wolf

    1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
    2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
    3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

      •  /