Abo
  • Services:
Anzeige
Wer eine Lifx-Lampe einsetzt, sollte das Sicherheitsupdate installieren.
Wer eine Lifx-Lampe einsetzt, sollte das Sicherheitsupdate installieren. (Bild: Lifx)

Sicherheitslücke: Lifx-LED-Lampe verrät WLAN-Passwort

Sicherheitsexperten haben erfolgreich eine LED-Lampe mit WLAN-Mesh-Funktion angegriffen. Der Weg ist zwar recht aufwendig, könnte aber die Vorlage für weitere Forschung sein, denn im drahtlosen Smarthome gibt es zahlreiche neue Geräte mit potenziellen Sicherheitslücken.

Anzeige

In den Lifx-LED-Lampen befindet sich eine Sicherheitslücke, die das Passwort des eigenen WLANs preisgibt, wenn sie ausgenutzt wird. Das fanden die Sicherheitsforscher von Context Information Security bei Experimenten mit den Lampen heraus.

Bei den Lifx-LED-Lampen handelt es sich um Leuchtmittel, die dem Smarthome zugeordnet werden können. Sie werden per App gesteuert und können in ihrer Lichtfarbe angepasst werden. Zudem besitzen die Lampen die Fähigkeit, ein WLAN-Mesh-Netzwerk aufzubauen. Dazu muss nur eine Lampe Kontakt mit der Außenwelt haben. Die Lampen untereinander sorgen dafür, dass das WLAN-Netzwerk weiterhin aktiv bleibt - ganz ohne Controller. Das deutete auf eine Designschwäche hin, die Context untersuchen wollte, denn die Lampen müssen untereinander das WLAN-Passwort austauschen.

Da es zum Zeitpunkt des Hacks an der Lampe noch kein herunterladbares Firmware-Image gab, behalfen sich die Forscher anderweitig. Sie extrahierten die Firmware mit Hilfe der JTAG-Pins direkt vom kleinen Mainboard der Lampe. Die Firmware war essentiell für die Untersuchung der Lampen, da die Lampen untereinander verschlüsselt kommunizieren.

Im Laufe des Reverse Engineering fanden sie heraus, dass die Verschlüsselung zwischen den Lampen zwar AES-gesichert ist, der globale Schlüssel zur Entschlüsselung sich jedoch in allen Lampen befindet. Den Algorithmus konnten die Forscher eigenen Angaben zufolge vergleichsweise einfach aus der Firmware extrahieren. Dasselbe galt für den Schlüssel.

Mit Hilfe dieser Informationen waren dann alle Lampen anfällig für einen Angriff auf das Mesh-Netzwerk. Mit Hilfe von manipulierten WLAN-Paketen konnten die Forscher den Lampen den WLAN-Schlüssel entlocken, der für das Mesh-Netzwerk an andere Lampen verteilt wurde. Die App wurde dabei nicht von den Lampen benachrichtigt, dass sich eine vermeintlich neue Lampe im Mesh-Netzwerk anmeldete, um den WLAN-Code zu bekommen.

Die Lifx-Lampen werden hierzulande nur von wenigen Händlern verkauft. Wer ein derartiges Leuchtmittel im Einsatz hat, sollte die aktuelle Firmware 1.3 in seine Lampen einspielen. Diese steht unter http://updates.lifx.co/ bereit, da die Sicherheitsforscher sich für Responsible Disclosure entschieden haben. Der Hersteller wurde über die Entdeckung der Sicherheitslücke vorab informiert.


eye home zur Startseite
fbfb 08. Jul 2014

Wenn es einen Key für alle Geräte weltweit gibt, ist das sehr wohl ein Problem. Eine...

nille02 08. Jul 2014

Nicht wollen stimmt nicht, es ist nur extrem nervig. Dabei kann ich schon einige...



Anzeige

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Rohde & Schwarz Cybersecurity GmbH, Darmstadt
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. 829,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. Firmware

    PS4 verbessert Verwaltung von Familien und Freunden

  2. Galaxy Note 4

    Samsung trägt keine Verantwortung für überhitzte Akkus

  3. Nach Anschlag in Charlottesville

    Nazis raus - aber nur aus PR-Gründen

  4. Hilton Digital Key im Kurztest

    Wenn das iPhone die Hoteltür öffnet

  5. Smartphone

    Essential Phone kommt mit zwei Monaten Verspätung

  6. Touch-ID deaktivieren

    iOS 11 bekommt Polizei-Taste

  7. Alternative Antriebe

    Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

  8. Search Light

    Google testet schlanke Such-App

  9. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  10. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Terroranschlag gegen linke Demonstranten

    der_wahre_hannes | 10:52

  2. Re: Linksradikales Portal "linksunten" schließen

    Dino13 | 10:52

  3. Re: Liebe Werbetreibende, liebe Richter vom OLG...

    tschick | 10:51

  4. Re: Alt-Right = Nazi

    Dino13 | 10:50

  5. Re: Intelligenter als 1/2 Tonne Akkus mit sich...

    Stefan99 | 10:46


  1. 10:44

  2. 10:00

  3. 09:57

  4. 09:01

  5. 08:36

  6. 07:30

  7. 07:16

  8. 17:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel