Hack des Home Security Systems hebt Schwachstellen im IoT hervor

Ein YouTube-Video zeigt, wie das Gerät von einem 2-Dollar-Funksender getäuscht werden kann, der die Frequenz seiner Tür- und Fenstersensoren nachahmt.

IoT-basierte Heimsicherheitssysteme hatten ihre eigenen Sicherheitsprobleme, aber das hat die Verbraucher nicht davon abgehalten, sie zu kaufen. Mit zunehmender Popularität scheint auch die Anzahl der darin gefundenen Sicherheitslücken zu steigen.

Dank eines YouTubers, der sich „LockPickingLawyer“ nennt, wurde festgestellt, dass das SimpliSafe DIY-Sicherheitssystem leicht von einem 2-Dollar-Funksender kompromittiert werden konnte.

Siehe auch: Neue hochrangige IoT-Sicherheitsrichtlinien von NIST

In einem Video demonstrierte LockPickingLawyer, wie ein billiger drahtloser Sender, der die Frequenz der Tür- und Fenstersensoren des Systems nachahmt, die Aktivierung des Alarms blockieren kann, wenn eine Tür oder ein Fenster geöffnet wird. Dies wird erreicht, indem der Sender gleichzeitig mit dem Öffnen der Tür oder des Fensters verwendet wird. Er fügte hinzu, dass der Benutzer eine Benachrichtigung über Funkstörungen erhält, wenn der Sender der Alarmbasis zu nahe kommt. Dieser Hack wird durch die Abhängigkeit des Systems von der 433,92-MHz-Frequenz ermöglicht, die von einer Vielzahl anderer Elektronikgeräte verwendet wird.

Auf Anfrage von The Verge bestritt SimpliSafe die Ergebnisse des YouTubers:

„Das Video ist irreführend und trifft nicht auf die Funktionsweise von Sicherheitssystemen im wirklichen Leben zu. In diesem Video findet der Videomacher eine genaue Frequenz, Signalstärke und Ausrichtung von Systemkomponenten, in die er die Nadel einfädeln kann, um die Systemkommunikation zu blockieren, ohne einen Alarm auszulösen.

Im wirklichen Leben ist dies unwahrscheinlich. Da die Signalstärke je nach Entfernung und Landschaft unvorhersehbar abnimmt, wäre es für jeden sehr schwierig, die „richtige“ Stärke zu treffen, ohne einen Alarm auszulösen.“

LockPickingLawyer antwortete:„SimpliSafe beanstandet, dass die Systemkomponenten während des Videos nah beieinander angeordnet sind. Das war eine Notwendigkeit des Filmemachens, keine physische Grenze des Exploits. Bei meinen Tests habe ich Sensoren von der Basisstation bis in die entlegensten Winkel meines Hauses getragen, dann die gleichen Tests mit dem gleichen Gerät durchgeführt und die gleichen Ergebnisse erhalten. Wenn überhaupt, zeigten Tests in realistischen Entfernungen ein größeres Problem, da das SimpliSafe-System die Interferenz weniger wahrscheinlich erkannte.

Der andere Kritikpunkt von SimpliSafe ist, dass jemand Vorkenntnisse über die Anordnung des Systems benötigen würde, um die Erkennung von Interferenzen zu vermeiden. Das Unternehmen greift einen Strohmann an. Was erforderlich ist, um die Entdeckung dieses Exploits zu vermeiden, lag außerhalb des Umfangs meiner Tests. Tatsächlich wird in meinem Video ausdrücklich darauf hingewiesen, dass SimpliSafe die Störung möglicherweise erkennt. Die Erkennung einer Interferenz löste bei meinen Tests jedoch nie einen Alarm aus. Es hat lediglich eine „Warnung“ gesendet, dass der Bewohner Nachforschungen anstellen kann oder nicht.“

Dies ist nicht das erste Mal, dass SimpliSafe wegen eines Sicherheitsproblems unter Beschuss gerät. Im Jahr 2016 wurde festgestellt, dass das System „von Natur aus unsicher und angreifbar“ war, nachdem Forscher von IOActive in der Lage waren, das Sicherheitssystem zu infiltrieren und zu entschärfen und den Funkverkehr abzuhören, und ein Sicherheitsvertriebs- und Integrationsmitarbeiter und Alarmexperte das System analysierte Ergebnisse waren düster.