:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/8d/eb8de8b6eacbb2f327e0c0a0f464e367/0107848271.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2022. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/40/22/4022ae599e7342948df8e75a6717775a/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ce/e6/cee678c6590e1d59203946c7704de75d/0110162687.jpeg "Windkraftanlagen in abgelegenen Regionen könnten über Satellit zuverlässig vernetzt werden. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/97/bd/97bdecc0b9444cdc705fb75a30700f27/0110107333.jpeg "Intel oneAPI ist ein offenes und freies Programmierkonzept von Intel. (Bild: Intel)")
:quality(80)/p7i.vogel.de/wcms/40/20/402074b46ac8e153abd56db5320e7479/0110198131.jpeg "Die Umfrageteilnehmer schätzen an Open Source vor allem die Möglichkeit, den Code in Projekten anpassen zu können. (Bild: © – Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/ac/faacdac3f06fc084435f5ae578dd257c/0109959593.jpeg "Softcore-Edge-AI-Lösung:
Der RISC-V-Prozessor mit TinyML Accelerator erreicht im Titanium FPGA im Vergleich zu einer Implementierung im Microcontroller eine um den Faktor 2 bis 50 höhere Performance bei vergleichbarer oder sogar geringerer Verlustleistung. (Bild: Efinix)")
:quality(80)/p7i.vogel.de/wcms/02/e3/02e38b057388714eda6978577bf4c576/0110403380.jpeg "Datensilos stellen Unternehmen immer noch vor Herausforderungen, wie eine aktuelle Studie von XPLM zeigt. (Bild: XPLM)")
:quality(80)/p7i.vogel.de/wcms/ab/02/ab02b9c479f0d62f1e899e6d1acb582e/0110150402.jpeg "High-Volume-Agent-Konnektoren sind Fivetran zufolge die optimale Lösung für Anwendungsfälle mit hohem Replikationsvolumen. (Bild: Fivetran)")
:quality(80)/p7i.vogel.de/wcms/f7/8a/f78ab35d8f4bb911fd774f9bf35efcfb/0110140187.jpeg "Qlik ist dank seiner Connector Factory in der Lage, in kurzer Zeit Konnektoren für gängige Unternehmensanwendungen bereitzustellen. (Bild: Qlik)")
:quality(80)/p7i.vogel.de/wcms/96/6f/966f45dd599ba9e63579bbf5afebf8f9/0110117981.jpeg "Databricks Model Serving bringt vollständig verwaltete ML-Funktionen, die nativ in das Databricks-Lakehouse integriert sind. (Bild: Databricks 2023)")
:quality(80)/p7i.vogel.de/wcms/70/b1/70b1074cb7b6eade02a807e037b697c6/0110178122.jpeg "Die Autorin: Andrea Hendrickx ist Country Head - Germany, Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/59/90/5990c3ed6c86e02d2166ee96941da6f1/0110403356.jpeg "Komplexe Analysen mit riesigen Datensätzen auf Enterprise-Niveau – dies sei mit Teradata VantageCloud und Azure ML nun möglich. (Bild: © – kamrul.gfxd – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/28/472882cf367c10339eab2dcd41d92e87/0109834262.jpeg "Der Autor: Dr. Alexander Becker ist COO der Serviceware SE (Bild: Serviceware SE)")
:quality(80)/p7i.vogel.de/wcms/c6/8e/c68e2e4ad04a5104136cd31db2f5f4ee/0109827730.jpeg "Die Autorin: Lisa Smith ist Mitgründerin und Managing Director von Prewave, einer globalen, KI-basierten Supply-Chain-Intelligence-Plattform. (Bild: Prewave)")
:quality(80)/p7i.vogel.de/wcms/b7/be/b7beec59cc8510a0d3272b7cc2868cf1/0110347830.jpeg "Die Frankfurt UAS lädt Ende April zur "Data Driven Business"-Konferenz. (Bild: Screenshot / Frankfurt UAS)")
:quality(80)/p7i.vogel.de/wcms/bc/50/bc50a35aeba53b4f36c24d5152329fe8/0109754124.jpeg "Der Autor: James Hodge ist leitender Datenstratege und Field CTO bei Splunk (Bild: Splunk)")
:quality(80)/p7i.vogel.de/wcms/98/c9/98c915c7b5bcd010fa53418746bd30f1/0109959572.jpeg "Das Leuchtturmprojekt unter Leitung von T-Systems soll die Einbindung von Spontanhelfern in den Katastrophenschutz vereinfachen. (Bild: T-Systems / iStock)")
:quality(80)/p7i.vogel.de/wcms/b5/ee/b5ee9d0fba86d1e9312607b97ab48b5b/0109790977.jpeg "Dr. Carsten Bange, Gründer und Geschäftsführer des BARC (Bild: BARC)")
:quality(80)/p7i.vogel.de/wcms/98/76/987671256340d564705f1f7c44591bd6/0110413650.jpeg "Smart Manufacturing: Für über der Hälfte der deutschen Unternehmen fehlt zur Umsetzung das Fachpersonal, wie eine Studie von Rockwell Automation zeigt. (Bild: Rockwell Automation / E. Bloodgood)")
:quality(80)/p7i.vogel.de/wcms/35/7f/357fdfe602bfb819e01d4d311ce35d65/0110342683.jpeg "Hexagon bündelt sein Know-how rund um die Fertigungsindustrie in der neuen Digital-Reality-Plattform Nexus. (Bild: Screenshot / Hexagon)")
:quality(80)/p7i.vogel.de/wcms/6d/a5/6da5124601a54048ed11758bd5c89355/0110365222.jpeg "Halbleiterproduktion: Stabile Prozesse gewährleisten, Ausbeuten erhöhen und Ressourcen sparen. Das macht ein neues Messsystem aus Hyperspektralkamera, KI und spezieller Beleuchtungstechnik möglich. (Bild: Samuel Faber auf Pixabay)")
:quality(80)/p7i.vogel.de/wcms/6e/fb/6efbec744ff73958f0b36ff2eb378ca1/0110467387.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/1f/321f11414740df561751c76e6de96493/0110294764.jpeg "Das Europäische Parlament in Straßburg berät derzeit über den AI Act. Das Gesetz soll die Regeln für den Einsatz von Künstlicher Intelligenz in der EU festlegen. (Bild: © nikitamaykov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/e2/9fe2420c1ef7aa9e6a90c7308bc99398/0110194405.jpeg "MOSTLY AI ist auf die Bereitstellung KI-generierter synthetischer Daten spezialisiert. (Bild: Screenshot / MOSTLY AI)")
:quality(80)/p7i.vogel.de/wcms/65/47/6547185e03807b5088caad7f971e68e8/0110211265.jpeg "Der sechste halbjährlich erscheinende State of XIoT Security Report bietet eine tiefgreifende Untersuchung und Analyse von Schwachstellen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ee/ea/eeea2beb824b395a87fd295292ca6a1d/0110663542.jpeg "Alle KI-Labore werden aufgefordert, das Training von noch leistungsfähigeren Modellen sofort für mindestens sechs Monate auszusetzen. (Bild: © – mino21 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/21/8d213fdf23f610a13c7a4bbc76e84761/0110553729.jpeg "Künstliche Intelligenz: Wird ChatGPT den Menschen Entwickler ersetzen? (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb7b241e808f1e6ddd04f00bf802f9a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/39/443985f91d22d9eb6b95fd116384fbd3/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/81/eb81898e9f6688e9b85de3698a58b290/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/84/f08464d082cc26f777ce07717ae5b52b/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
Smarte Helfer mit lückenhafter API-Security Wenn die digitale Haushaltshilfe zum Spion wird
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Webfähige Geräte sind in vielen Unternehmen und Haushalten in Deutschland längst zu unverzichtbaren Begleitern geworden. Smarte Sprachassistenten, intelligente Gebäudetechnik sowie digitale Kommunikations- und Videosysteme versprechen ein Plus an Komfort und Effizienz. Doch die APIs, über die die nützlichen Helfer kommunizieren, weisen oft gravierende Sicherheitslücken auf – und öffnen Cyberkriminellen Tür und Tor.
Um die smarten Funktionen zu ermöglichen, sind IoT-Geräte nicht nur mit einer ausgeklügelten Steuerung und oft Dutzenden unterschiedlichster Anwendungen ausgestattet, sondern in der Regel auch mit einem Server des jeweiligen Herstellers verbunden. Dieser sorgt dafür, dass die Daten aller aktiven Devices zentral in Cloud-Applikationen gesammelt und ausgewertet werden. Damit erhalten eigentlich recht simpel aufgebaute Systeme eine Art von künstlicher Intelligenz, die die Erfahrungswerte aller Geräte nutzt, um einzelne in ihren Arbeitsabläufen zu optimieren.
Genau das kann Probleme verursachen, wie ein aktueller Fall des Research Teams von Checkmarx zeigt. Die Forscher, die in der Vergangenheit bereits Sicherheitslücken bei Amazons Alexa, der Kamera von Google- und Samsung-Smartphones und dem Kindertablet LeapPad aufgedeckt haben, haben jetzt dokumentiert, wie gefährlich vermeintlich harmlose Smart Home und Smart Office Systeme sein können. Zuvor hatten die Sicherheitsforscher IoT-Geräte im Haushalt untersucht, darunter den Saugroboter Ironpie M6 von Trifo. Der App-gesteuerte Staubsaugerroboter verfügt über eine eingebaute Kamera, mit der Anwender via App jederzeit ins eigene Heim blicken können. Das Checkmarx Team fand schwerwiegende Schwachstellen in den Programmierschnittstellen (APIs) zwischen dem Gerät, der Android-App und der Verbindung zum Backend Server.
Die Sicherheitslücken im Detail
In der Untersuchung haben die Forscher nicht nur gleich mehrere Schwachstellen gefunden, sondern auch unsichere Coding-Practices dokumentiert. Während einige Schwachstellen in der Praxis nur geringes Gefährdungspotenzial haben, sind andere schon als deutlich ernsthafter einzustufen. Das gilt besonders angesichts der Tatsache, dass der Saugroboter nach wie vor als Sicherheitsprodukt vermarktet wird.
Bei der Untersuchung wurden Lücken in allen drei Komponenten des Systems gefunden:
- in der Android-App
- im Zusammenspiel mit dem Cloud-System im Backend
- im Staubsauger selbst
Unsicheres Update
Im Hinblick auf ihre Programmierung lässt sich die Trifo Android-App (Trifo Home) durchaus als sicher einstufen. Sie entspricht den gängigen Richtlinien und ist auch im Coding solide ausgeführt. Ihre Schwachstelle liegt den Forschern zufolge in der Update-Prozedur. Das Update wird nämlich nicht wie vorwiegend üblich über den Google-Play-Store ausgeführt, sondern über einen Drittserver per HTTP-Request. Hier können Angreifer die Anfrage abfangen und dazu missbrauchen, Schadcode beim Anwender zu installieren. Die Möglichkeiten einer auf diese Weise manipulierten App sind für Cyberkriminelle dann nahezu unbegrenzt.
MQTT-Fernzugriff öffnet Tor für Hacker
MQTT (Message Queuing Telemetry Transport) ist ein datensparendes Protokoll, das IoT-Geräten selbst in schmalbandigen Netzen die Übertragung von Telemetriedaten erlaubt. Im Fall des Saugroboters agieren die unterstützenden MQTT-Server als Brücke zwischen dem Trifo-Sauger, den Backend-Servern und der Trifo-Home-Anwendung. Die Server werden verwendet, um Ereignisse aus den eingesetzten Saugrobotern zu verarbeiten, die dann an die grafische Benutzeroberfläche der entsprechenden Trifo Home App übermittelt werden. Das Problem: Das System verfügt über keinen ausreichend sicheren Authentifizierungsmechanismus. Dadurch kann sich ein Angreifer mit den MQTT-Servern verbinden. Dazu benötigt er lediglich eine beliebige Client-ID, die sich vergleichsweise einfach aus vorhandenen Daten extrapolieren lässt.
Während die Android-App des Herstellers MQTT über SSL verwendet, verbindet sich der Saugroboter selbst zunächst über eine unverschlüsselte Verbindung mit den MQTT-Servern und tauscht einige Pakete offen aus. Erst danach wird die eigentliche MQTT-Payload verschlüsselt. Problematisch, denn genau das versetzt Angreifer in die Lage, jede beliebige Client-ID zu errechnen. Mit diesem Wissen kann er dann den Datenverkehr des Ironpie überwachen, um eine beliebige MAC-Adresse zu übernehmen und so Daten auf die eigenen Systeme umzuleiten. Zu diesen Daten zählt auch der sogenannte dev_key, der zur Entschlüsselung des gesamten Traffics verwendet werden kann. Mit diesen Informationen ist der Hacker dann in der Lage, sich als MQTT-Server auszugeben und die volle Kontrolle über den Staubsauger zu erlangen.
Komplette Einsicht
Über MQTT hat der Angreifer dann den kompletten Zugriff auf nahezu alle Informationen. Dazu zählen zum Beispiel die SSID des Netzwerks, mit dem der Saugroboter verbunden ist, seine interne IP-Adresse, seine MAC-Adresse und andere Daten. Damit kann ein Angreifer einen Schlüssel erzeugen, der es ihm ermöglicht, Zugang zum Video-Feed aller aktiven Ironpie-Sauger zu erhalten, unabhängig davon, wo sie sich befinden. Dem Ausspionieren ganzer Gebäude und ihrer Bewohner und dem Erstellen von Grundrissen fremder Häuser steht damit nichts mehr im Weg.
Obwohl Checkmarx den Hersteller bereits über die Schwachstellen informiert hat, wurden diese bislang nicht behoben. Anbieter und Hersteller müssen die Sicherheit ihrer Geräte stärker in den Fokus rücken, um die Benutzer und deren Daten zuverlässig zu schützen.
Fazit
Im Zuge von Digitalisierung und IoT nimmt die Zahl intelligenter, web-fähiger Geräte im privaten und im beruflichen Umfeld rasant zu. Dabei dürfen die Hersteller aber nicht mit Blick auf eine rasche Markteinführung ihrer Produkte Abstriche bei der Absicherung der Geräte-Software und der Schnittstellen in Kauf nehmen. Um Sicherheitslücken im Code frühzeitig zu erkennen und zu beheben, gilt es insbesondere auf die Einhaltung der OWASP Best Practice Vorgaben im Bereich API-Security zu achten. In kritischen Umgebungen mit hohem Code-Volumen empfiehlt sich darüber hinaus der Einsatz einer dedizierte Software-Security-Plattform, die den Code und die eingebundenen Open-Source-Komponenten über den gesamten SDLC hinweg überwacht.
Über den Autor: Brad Wolfe ist Sales Engineering Manager beim Software-Security-Anbieter Checkmarx.
(ID:46833729)
:quality(80)/images.vogel.de/vogelonline/bdb/1945400/1945475/original.jpg "Wie volatil IoT-Schnittstellen sein können, zeigt der prominente Fall eines Casino-Hacks – über ein Aquarium. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934900/original.jpg "Zuhause hören heute schon Sprachassistenten mit. In zukünftigen Smart Cities wird die Zahl der ‚mithörenden‘ Geräte jedoch immer größer und es wird kaum noch möglich sein, alle datensammelnden Schnittstellen zu überblicken. (gemeinfrei // Unsplash)")