- IT&Production - https://www.it-production.com -

Studierende entdecken Angriffe auf Überwachungssystem

Gehacktes Alarmsystem

Studierende entdecken Angriffe auf Überwachungssystem

Überwachungssysteme, die vor Einbrüchen schützen sollen und sich per Smartphone-App steuern lassen, sollen die Nutzer in Sicherheit wiegen. Dass dieses Gefühl trügen kann, haben Studierende aus dem Studiengang Informatik an der Hochschule Emden/Leer im Rahmen eines Forschungsprojektes aufgedeckt.

Bild: Hochschule Emden/Leer [1]

Bild: Hochschule Emden/Leer

Die Studierenden Du Cheng und Yixin Peng (Hochschule Emden/Leer) haben unter Leitung des wissenschaftlichen Mitarbeiters Frederik Gosewehr und Prof. Dr. Patrick Felke einen so genannten DoS-Angriff (Denial of Service) auf das ’Amazon Ring Alarm 5 Starter Set’ entdeckt. Ein solcher Angriff ist in der Lage das Gateway und somit das gesamte IoT-Netzwerk für unbeschränkte Zeit lahmzulegen. Das Smartphone meldet zunächst keinen Fehler. Außenstehende können so über ein Fenster einsteigen, da der dadurch ausgelöste Alarm nicht verarbeitet wird.

Betroffenes System seit drei Jahren auf dem Markt

Bereits vor drei Jahren hatten Studierende der Hochschule verschiedene Smart Home-Geräte, unter anderem Netzwerk-Überwachungskameras, untersucht und festgestellt, dass einige Geräte Sicherheitslücken aufweisen. Das diesmal betroffene ’Ring’-System ist erst seit etwa drei Jahren auf dem deutschen Markt. Darin kommt die Funktechnologie Z-Wave zum Einsatz, die auch von anderen Smart-Home-Anbietern genutzt wird – der Angriff ist somit nicht auf Ring beschränkt, erfordert aber ein Gerät, das im IoT-Netz angemeldet, aber nicht verfügbar ist. Dies geschieht beispielsweise, wenn das Gerät aus der Steckdose gezogen wird oder der Akku entladen ist. In diesem Fall kann ein Angriff vorgenommen und das Sicherheitssystem manipuliert werden, wie Felke erläutert.

Betreiber-Firma informiert

Nach Angaben des Professors wurde die Firma SiLabs als Betreiber des Funkstandards Z-Wave über die Sicherheitslücke informiert. Das Unternehmen hat den Angriff bestätigt und seinen Kunden ein Update zur Behebung der Schwachstelle bereitgestellt. „Diese Arbeit ist eine schöne Umsetzung der in der Vertiefungsrichtung IT-Sicherheit erlernten Spezialkenntnisse“, so Felke.