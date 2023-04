Ein Garagentor, das sich von außen bequem steuern lässt, ist zweifellos eine nützliche Angelegenheit. Weniger fein ist das Ganze allerdings, wenn das nicht bloß die jeweiligen Besitzer, sondern alle mit dem entsprechenden Fachwissen können. Genau mit dieser Realität sehen sich nun zehntausende Kunden der Firma Nexx konfrontiert.

Eine einzige große Lücke

Die "Smart Home"-Produkte von Nexx weisen zum Teil haarsträubende Lücken auf, warnt der Sicherheitsforscher Sam Sabetan. Dies führt dazu, dass etwa besagte Garagentore leicht von außen geöffnet werden können. Aber auch die Alarmanlagen des Unternehmens sollen ähnliche Lücken aufweisen – und sich darüber deaktivieren lassen, wie Motherboard berichtet.

Die wohl schlimmste der Lücken: Viele Versionen der "Nexx Smart Home"-Devices verwenden fixe Zugangsdaten, Log-in und Passwort sind also in der Firmware verankert – und lassen sich auch nicht verändern. Wer diese Kombination kennt, kann also sehr einfach entsprechende Geräte steuern.

Demonstration einer der Lücken. Sam Sabetan

Informationen sammeln

Dazu kommen noch einige andere Lücken, mit denen sich die Autorisierung austricksen lässt oder Angreifer ein Gerät einer Zielperson für sich registrieren und somit übernehmen können. Auch der Zugriff auf weitere Geräte- und Nutzungsinformationen ist möglich. So gelang es dem Sicherheitsforscher, E-Mail-Adressen, Geräte-IDs oder auch Vornamen von anderen Nexx-Usern auszulesen.

Keine Reaktion

Was bei all dem besonders bedenklich ist: Der Hersteller ignorierte bisher sämtliche Hinweise und Anfragen. Weder auf Anfragen des Sicherheitsforschers noch von Motherboard hat Nexx reagiert. Das steht in einem gewissen Missverhältnis zur nach außen kommunizierten Firmenpolitik. So wirbt Nexx mit den "aktuellsten Sicherheitsstandards für IoT-Geräte" sowie mit dem eigenen – angeblich – "fantastischen Kundensupport".

Angesichts des Schweigens der Firma ist auch unklar, wann – und ob – ein Update zur Fehlerbereinigung folgen wird. In Summe sollen 20.000 Kunden mit insgesamt 40.000 Geräten weltweit von diesen Problemen betroffen sein. (apo, 7.4.2023)