Abo
  • Services:
Anzeige
Wer eine Lifx-Lampe einsetzt, sollte das Sicherheitsupdate installieren.
Wer eine Lifx-Lampe einsetzt, sollte das Sicherheitsupdate installieren. (Bild: Lifx)

Sicherheitslücke: Lifx-LED-Lampe verrät WLAN-Passwort

Sicherheitsexperten haben erfolgreich eine LED-Lampe mit WLAN-Mesh-Funktion angegriffen. Der Weg ist zwar recht aufwendig, könnte aber die Vorlage für weitere Forschung sein, denn im drahtlosen Smarthome gibt es zahlreiche neue Geräte mit potenziellen Sicherheitslücken.

Anzeige

In den Lifx-LED-Lampen befindet sich eine Sicherheitslücke, die das Passwort des eigenen WLANs preisgibt, wenn sie ausgenutzt wird. Das fanden die Sicherheitsforscher von Context Information Security bei Experimenten mit den Lampen heraus.

Bei den Lifx-LED-Lampen handelt es sich um Leuchtmittel, die dem Smarthome zugeordnet werden können. Sie werden per App gesteuert und können in ihrer Lichtfarbe angepasst werden. Zudem besitzen die Lampen die Fähigkeit, ein WLAN-Mesh-Netzwerk aufzubauen. Dazu muss nur eine Lampe Kontakt mit der Außenwelt haben. Die Lampen untereinander sorgen dafür, dass das WLAN-Netzwerk weiterhin aktiv bleibt - ganz ohne Controller. Das deutete auf eine Designschwäche hin, die Context untersuchen wollte, denn die Lampen müssen untereinander das WLAN-Passwort austauschen.

Da es zum Zeitpunkt des Hacks an der Lampe noch kein herunterladbares Firmware-Image gab, behalfen sich die Forscher anderweitig. Sie extrahierten die Firmware mit Hilfe der JTAG-Pins direkt vom kleinen Mainboard der Lampe. Die Firmware war essentiell für die Untersuchung der Lampen, da die Lampen untereinander verschlüsselt kommunizieren.

Im Laufe des Reverse Engineering fanden sie heraus, dass die Verschlüsselung zwischen den Lampen zwar AES-gesichert ist, der globale Schlüssel zur Entschlüsselung sich jedoch in allen Lampen befindet. Den Algorithmus konnten die Forscher eigenen Angaben zufolge vergleichsweise einfach aus der Firmware extrahieren. Dasselbe galt für den Schlüssel.

Mit Hilfe dieser Informationen waren dann alle Lampen anfällig für einen Angriff auf das Mesh-Netzwerk. Mit Hilfe von manipulierten WLAN-Paketen konnten die Forscher den Lampen den WLAN-Schlüssel entlocken, der für das Mesh-Netzwerk an andere Lampen verteilt wurde. Die App wurde dabei nicht von den Lampen benachrichtigt, dass sich eine vermeintlich neue Lampe im Mesh-Netzwerk anmeldete, um den WLAN-Code zu bekommen.

Die Lifx-Lampen werden hierzulande nur von wenigen Händlern verkauft. Wer ein derartiges Leuchtmittel im Einsatz hat, sollte die aktuelle Firmware 1.3 in seine Lampen einspielen. Diese steht unter http://updates.lifx.co/ bereit, da die Sicherheitsforscher sich für Responsible Disclosure entschieden haben. Der Hersteller wurde über die Entdeckung der Sicherheitslücke vorab informiert.


eye home zur Startseite
fbfb 08. Jul 2014

Wenn es einen Key für alle Geräte weltweit gibt, ist das sehr wohl ein Problem. Eine...

nille02 08. Jul 2014

Nicht wollen stimmt nicht, es ist nur extrem nervig. Dabei kann ich schon einige...



Anzeige

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Experis GmbH, Kiel
  3. Wolters Kluwer Deutschland GmbH, Hürth bei Köln
  4. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)


Anzeige
Spiele-Angebote
  1. 28,99€
  2. 44,99€ (Vorbesteller-Preisgarantie)
  3. (-78%) 8,99€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Für was verwendet man den noch im Jahr 2017?

    GaliMali | 03:52

  2. Re: Siri und diktieren

    Proctrap | 02:15

  3. Re: Habe nach meinen Umzug knapp ein halbes Jahr...

    Trockenobst | 00:58

  4. Re: Warum?

    NeoXolver | 00:48

  5. Re: Mittelmäßig nützlich, ersetzt kein LTE

    GnomeEu | 00:40


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel