Man stelle sich vor, man wacht in der Früh auf, torkelt schlaftrunken zur Kaffeemaschine, um sich eine Tasse der heißen Koffeinbrühe zu gönnen, die einen erst langsam vom Morgenzombie zum vollfunktionalen Homo sapiens macht. Man stelle sich weiters vor, dass dieses Vorhaben unerwartet scheitert. Und zwar nicht an mangelnder Wasserzufuhr, verstopften Filtern oder einem Stromausfall, sondern weil die Maschine ihre Dienste verweigert, bis man einen Betrag an Kryptowährung an die digitale Geldbörse unbekannter Übeltäter geschickt hat.

Für den durchschnittlichen Kaffeejunkie ist dies freilich eine absolut erschütternde Vorstellung, wie man sie sonst nur aus Serien wie Black Mirror kennt. Ihre Verwirklichung ist aber näher als je zuvor – dank Herstellern, die die Sicherheitsaspekte ihrer vernetzten Produkte vernachlässigen. Den Proof of Concept dazu hat der Fachmann Martin Hron vom Sicherheitssoftwarehersteller Avast nun in einem Bastelprojekt erbracht.

Keine Verschlüsselung

Das Unternehmen Smarter hat sich unter Security-Experten nicht unbedingt einen guten Ruf erarbeitet. Die ersten beiden Generationen des smarten Wasserkochers und die erste smarte Kaffeemaschine der Firma zeichneten sich durch fast schon demonstrative Vernachlässigung ihrer digitalen Sicherheit aus. Erst im vergangenen Jahr brachte Smarter neue Versionen auf den Markt, die die Einfallstore stopften.

Doch die älteren Geräte werden immer noch verwendet. Um das Gefahrenpotenzial vorzuführen, besorgte sich Hron den ersten Smarter Coffee Maker, um sich zu wundern, was damit alles möglich ist. Weil das Gerät weder nach Authentifizierung verlangt und Kommandos unverschlüsselt empfängt, konnte Hron es bereits nach einer Woche auch ohne die zugehörige App fernsteuern. Das reichte von der Anzeige beliebiger Nachrichten am Display bis hin zum Einschalten des Mahlwerks und Heizaggregats. Eine solche – potenziell und wortwörtlich brandgefährliche – Attacke lässt sich vom Kaffeemaschinenbesitzer auch nur durch das Ziehen des Stromsteckers beenden.

Empfänglich für manipulierte Updates

Doch das Angriffspotenzial geht noch deutlich darüber hinaus, denn das Gerät empfängt auch seine Firmware-Updates unverschlüsselt, die noch dazu von der App am Handy zwischengespeichert werden. Die Firmware, schätzt Hron, dürfte einfach im Klartext am Speicher der Maschine liegen.

Er beförderte das Firmware-Paket von seinem Handy auf den PC und begann damit, es zu reverse-engineeren, also aus der Datei wieder les- und manipulierbaren Code zu machen. Das machte es allerdings notwendig, das Gerät zu zerlegen, um herauszufinden, welcher Prozessor und andere Hardware zum Einsatz kommen. Damit gelang es ihm, ein Script zu schreiben, mit dem er selbst neue Firmware auf die Kaffeemaschine aufspielen konnte.

Angriffspotenzial nur durch WLAN-Reichweite begrenzt

Ursprünglich wollte er den Apparat eine Kryptowährung minen lassen. Da dies aufgrund der schwachen Acht-MHz-CPU jedoch ein eher sinnloses Unterfangen gewesen wäre, stieg er auf Erpressung um. Sein Hack würde den Kaffeeautomaten dazu bringen, anstelle eines Menüs nur die kurze Meldung "Wollen Sie Ihre Maschine zurück?" nebst Adresse einer Internetseite mit weiteren Instruktionen zu zeigen und sonst auf keinerlei App-Kommandos oder Tasten mehr zu reagieren.

Was das Gefahrenpotenzial eines solchen Angriffs einschränkt, ist die WLAN-Reichweite des Smarter Coffee Maker. Wird das Gerät vom Nutzer nie konfiguriert und mit einem bestehenden Netzwerk verbunden, so betreibt sie es eigenes, nicht gesichertes Ad-hoc-WLAN, das permanent aktiviert ist.

Doch selbst die Anbindung an ein anderes Drahtlosnetzwerk ist keine Sicherheitsgarantie. Weiß ein Angreifer, dass eine Maschine in einem bestimmten Netzwerk ist, so kann er ein "Deauthorisierungs-Paket" schicken, das bewirkt, dass sich die Kaffeemaschine vom Netzwerk trennt und wieder ihr eigenes WLAN einschaltet. Angreifern ist es auch möglich, ein solches Paket auch einfach an alle Netzwerke im Empfangsbereich zu schicken, um auf gut Glück zu erproben, ob eine anfällige Maschine in der Nähe ist. Dennoch schränkt die notwendige räumliche Nähe das Angriffspotenzial natürlich sehr stark ein.

Die Risiken von schlechtem Support

Dennoch hat Hron hier ein deutliches Beispiel dafür gegeben, wie wichtig es ist, dass Hersteller von IoT-Produkten Sicherheitsstandards befolgen. Dazu gehört auch die regelmäßige Versorgung mit Firmware-Updates, auch ein kritischer Punkt, den der Forscher anspricht. Der durchschnittliche Kühlschrank, so schreibt er, ist 17 Jahre lang im Einsatz. Doch ob irgendein Hersteller wirklich so lange Softwaresupport leistet, ist mehr als fraglich.

Das bedeutet, dass einerseits nach ein paar Jahren die smarten Features nicht mehr nutzbar sind, und andererseits, dass es aufgrund nicht mehr versorgter Sicherheitslücken eine wachsende Armada an Geräten geben wird, die sich etwa in ein Botnet eingliedern lassen, um DDoS-Attacken auszuführen und für andere Cyberangriffe aller Art offen stehen.

Der Missbrauch von schlecht gesicherten, smarten Geräten für DdoS-Manöver ist in den vergangenen Jahren bereits öfter passiert. Erst 2019 wurde ein solches Botnet entdeckt, in das 400.000 vernetzte Heimgegenstände eingebunden waren. (red, 28.9.2020)