Internet der Dinge: Verräterische Datenströme


Die oftmals mangelnde Sicherheit von IoT-Geräten wird von Fachleuten bereits seit längerer Zeit kritisiert. Viele Geräte besitzen keinen oder nur einen unzureichenden Passwortschutz, arbeiten mit veralteten Software-Versionen, weisen zahlreiche bekannte Sicherheitslücken auf oder verfügen über keine Funktionen zum Patchen oder Aktualisieren ihrer Firmware. Darüber hinaus weist nun eine neue Studie der Princeton University darauf hin, dass selbst gut abgesicherte, mit Verschlüsselung arbeitende Geräte eine Gefahr für die Privatsphäre ihrer Besitzer bilden können.

Die drei Autoren der Studie untersuchten unter Laborbedingungen den Datenverkehr einer Wohnung, in der vier typische Smart-Home-Geräte installiert waren, ein Sense Sleep Monitor, eine Nest Indoor-Kamera, ein WeMo Switch von Belkin und ein Amazon Echo-System. Alle vier verschlüsseln ihren Datenverkehr mittels TLS/SSL.

Die erste Aufgabe bestand nun darin, die vier Geräte zu identifizieren. Die Forscher hatten lediglich Zugriff auf den Datenstrom hinter dem zentralen Router, weshalb die Hypothese lautete, dass aufgrund des NAT-Verfahrens (Network Address Translation) die Zuordnung der Datenströme schwierig bis unmöglich sein würde. Tatsächlich war es jedoch verhältnismäßig einfach. Denn über die unverschlüsselten Metadaten ließen sich die Server-Adressen ermitteln, mit denen die Geräte kommunizierten. Damit konnten die Wissenschaftler nicht nur die einzelnen Datenströme voneinander separieren, sie konnten auch Rückschlüsse auf die Datenquellen, also die Gerätetypen, ziehen.

Bei den weiteren Untersuchungen zeigte sich, dass die einzelnen Geräte sehr charakteristische Datenprofile an ihre Server schickten. So konnten die Forscher beim Sense Sleep Monitor beim abendlichen Zubettgehen und jedem nächtlichen Aufstehen der Testperson deutlich erkennbare Datenspitzen ausmachen. Für einen aufmerksamen Beobachter wäre es daher ein Leichtes zu erkennen, ob etwa eine bespitzelte Person gerade schläft oder in der Wohnung aktiv ist.

Die Überwachungskamera von Nest liefert Live-Bilder, die der Besitzer über eine mobile oder Web-App einsehen kann. Solange er nicht zuschaut, achtet die Software der Kamera auf Bewegungen und schlägt gegebenenfalls Alarm. Hat der Besitzer einen bezahlten Account, werden die Bilder zusätzlich in die Cloud hochgeladen. Die Wissenschaftler stellten fest, dass die Datenrate erheblich höher war, wenn der Anwender den Videostream live überwachte.

Amazon Echo hört zu

Der WeMo Switch wiederum kennt nur zwei Zustände, entweder er ist an oder aus. Ein- und ausschalten lässt er sich über eine mobile App und über einen physischen Schalter am Gerät. In beiden Fällen sendet er ein charakteristisches Signal in die Cloud. Allerdings lässt sich anhand der Daten nicht sagen, ob das Gerät gerade aktiv oder inaktiv ist.

Am schwierigsten gestaltete sich die Untersuchung von Amazon Echo, da das Gerät mit mehreren externen Servern etwa von Amazon oder beispielsweise Spotify kommuniziert. Es stellte sich jedoch heraus, dass die Sprachkommandos nur über einen einzigen, SSL-verschlüsselten Stream liefen. Damit konnten die Forscher erkennen, wann jemand mit dem digitalen Assistenten sprach. Ob er allerdings in der übrigen Zeit anwesend war oder nicht, ließ sich nicht feststellen.

Wie die Studie zeigt, lässt sich mit dem Datenverkehr von IoT- und speziell von Smart-Home-Geräten ein recht genaues Bild vom Tagesablauf eines Anwenders gewinnen. Je mehr Devices er benutzt, desto einfacher wird diese Aufgabe und desto detailreicher wird das Profil. Zudem können Experten, abhängig von den vorhandenen Geräten allerdings, mit hoher Sicherheit feststellen, ob der Besitzer gerade anwesend ist, ob schläft oder wach ist, in welchem Raum er sich aufhält. Mit diesen Informationen ist die Überwachung ein Kinderspiel, selbst wenn der Außenstehende wegen der Verschlüsselung auf die Rohdaten keinen Zugriff hat.

Die Schwierigkeit ist natürlich, an die vom Router an den Provider übermittelten Daten heranzukommen. Falls es jedoch gelingt, in die Wohnung einzudringen, ist es mit einer Man-in-the-Middle-Attacke möglich, den Datenstrom unbemerkt und dauerhaft anzuzapfen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (1)

  1. We have to use MSN family protection programs to protect, children and computer programs from strangers.

Skip to main content