Sicherheitsrisiko Vernetzte LED-Lampen verraten WLAN-Passwörter

Mit dem Internet der Dinge ergeben sich völlig neue Sicherheitsprobleme, die stark unterschätzt werden. Nun haben es White-Hat-Hacker geschafft, über vernetzte LED-Lampen den WLAN-Schlüssel zu ermitteln.

Nach einem Bericht von Ars Technica haben Sicherheitsforscher von Context die smarten LED-Lampen des US-amerikanischen Herstellers LIFX angegriffen. Diese lassen sich per Smartphone oder Tablet ein- und ausschalten. Außerdem lässt sich deren Farbgebung und Helligkeit über die mobilen Geräte steuern.

Die LED-Lampen kommunizieren miteinander über 6LoWPAN und übermitteln sich darüber gegenseitig ihre WLAN-Zugangsdaten. Zwar nutzen sie das AES-Verfahren zur Verschlüsselung der Passwörter. Allerdings wird der zugrunde liegende Schlüssel nie geändert, wodurch es Angreifern leicht gemacht wird, die gewünschten Daten herauszufinden. Um die WLAN-Zugangsdaten zu entschlüsseln, mussten sich die so genannten White-Hat-Hacker - also Hacker, die sich innerhalb der gesetzlichen Vorgaben bewegen – weder authentifizieren, noch wurde ihre Anwesenheit im Netzwerk bemerkt.

Auf den Hinweis der Mitarbeiter von Context bezüglich der Sicherheitslücke, reagierte LIFX umgehend. Das Unternehmen veröffentlichte ein neues Firmware-Update für die LED-Lampen, mit dem sich nun ihr gesamter 6LoWPAN-Traffic verschlüsseln lässt. Der verwendete Schlüssel wird aus den WLAN-Daten abgeleitet.

Ars Technica kritisiert, dass LIFX die Sicherheitslücke nicht bereits selbst entdeckt hat und nicht mehr Aufwand in die Verschlüsselung gesteckt hat, bevor die LED-Lampen auf den Markt kamen. Denn hier wird die große Gefahr des Internets der Dinge deutlich. Mit der zunehmenden Anzahl der vernetzten Gegenstände wird es immer schwieriger, eine sichere Privatsphäre zu gewährleisten. Und die Hersteller der internetfähigen Produkte tun meist zu wenig, um diese wirksam zu schützen.

In diesem Fall waren es Sicherheitsforscher, die die Sicherheitslücke aufspüren konnten. Doch nicht in jedem Fall gelingt es, kriminellen Hackern zuvorzukommen.