Smart Home-Produkte wie beispielsweise Lampen, die sich über das Smartphone steuern lassen, werden immer beliebter. Wissenschaftler des Lehrstuhls für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben allerdings Sicherheitsmängel bei aktuellen smarten Lampen der Hersteller GE, IKEA, Philips und Osram entdeckt. Dem Team um Philipp Morgner und Zinaida Benenson ist es gelungen, Lampen verschiedener Hersteller für mehrere Stunden zum Blinken bringen – mit einem einzigen Funkbefehl aus einer Entfernung von über 100 Metern. Unter bestimmten Bedingungen konnten sie aus der Ferne auch beispielsweise die Lichtfarbe oder die Helligkeit ändern. Zudem konnten sie die Lampen per Funkbefehl so beeinflussen, dass eigentlichen Nutzer sie nicht mehr steuern konnten.
Schwachstelle im Funkstandard ZigBee
Die Schwachstelle liegt den Wissenschaftlern zufolge bei ZigBee, einem wichtigen Funkstandard für Smart-Home-Produkte. Die Verbreitung von ZigBee-Produkten soll weltweit bei mehr als 100 Millionen Geräten liegen. Zu den aktuellen Spezifikationen von ZigBee 3.0 gehört das Touchlink Commissioning. Damit wird ein neues Gerät zu einem bestehenden Smart-Home-Netzwerk hinzugefügt oder ein neues Netzwerk eingerichtet. Den Forschern zufolge sind die Sicherheitsmaßnahmen beim Touchlink Commissioning jedoch unzureichend, was es für Angriffe anfällig macht. In Zukunft könnten auch sicherheitskritische Anwendungen wie Heizungsanlagen, Türschlösser oder Alarmanlagen, die ebenfalls ZigBee nutzen, davon betroffen sein. Die FAU-Wissenschaftler empfehlen daher, Touchlink Commissioning in allen zukünftigen Produkten mit ZigBee 3.0 zu deaktivieren.
Erste Hersteller reagieren
Wie die FAU mitteilt, haben einige Hersteller bereits reagiert: Sie stellen ihren Kunden ein Update zur Verfügung, das die Effekte der Angriffe deutlich verringern soll. Aktuelle Informationen dazu veröffentlichen die FAU-Wissenschaftler auf einer eigenen Webseite.