Ein Forscher stellte fest, dass die Gartenroboter von Yarbo eine Reihe von Sicherheitslücken aufwiesen, die es einem Angreifer unter anderem ermöglichten, WiFi abzugreifen.
Der Sicherheitsforscher Andreas Makris stellte fest, dass er Tausende von Yarbo-Gartenrobotern weltweit aus der Ferne kapern konnte, und bewies dies, indem er sich von seinem eigenen Mäher überfahren ließ. Die Ursache lag in einer Reihe von veralteten Designentscheidungen: Alle Roboter hatten dasselbe fest programmierte Root-Passwort, Fernzugriffstunnel blieben offen, und der MQTT-Nachrichtenaustausch (Message Queuing Telemetry Transport) war so schlecht geschützt, dass man mit einem einzigen Gerät praktisch die gesamte weltweite Flotte unter Kontrolle hatte.
Ein Angreifer könnte GPS-Koordinaten, E-Mail-Adressen und WLAN-Passwörter abgreifen, Kameras in Fernüberwachungsgeräte verwandeln und den Rasenmäher sogar wieder in Betrieb nehmen, nachdem jemand den Not-Aus-Schalter betätigt hat.
All dies wurde durch einen permanenten Backdoor-Tunnel ermöglicht, den die Nutzer weder sehen noch sinnvoll kontrollieren konnten. Die Risiken lassen sich in drei sehr unterschiedliche Kategorien einteilen:
- Ein schwerer Rasenmäher mit fernsteuerbaren Messern und einer Not-Aus-Funktion, die umgangen werden kann, stellt ein echtes Sicherheitsrisiko dar.
- Durch die offen zugängliche Telemetrie konnten Angreifer den Standort der Geräte ermitteln, deren Besitzer identifizieren und einigen Berichten zufolge sogar die Kamerabilder einsehen.
- Durch den Missbrauch von Netzwerkzugängen mittels gemeinsam genutzter Root-Zugangsdaten konnten kompromittierte Roboter lokale Netzwerke scannen, weitere Daten stehlen oder in ein Botnetz eingebunden werden.
Die öffentliche Stellungnahme von Yarbo ist für einen Anbieter von IoT-Lösungen für Endverbraucher ungewöhnlich ausführlich. Erfrischend offen räumt das Unternehmen zudem ein, dass die zentralen Erkenntnisse des Forschers zutreffend waren. Das Unternehmen hat die Ferndiagnosetunnel vorübergehend deaktiviert, Root-Passwörter zurückgesetzt, nicht authentifizierte Endpunkte gesperrt und damit begonnen, unnötige veraltete Zugriffspfade zu entfernen.
Vor allem aber verspricht Yarbo strukturelle Veränderungen:
- Gerätebezogene Anmeldedaten.
- Rotation von Anmeldedaten per Over-the-Air (OTA).
- Geprüfte, auf einer Whitelist basierende Ferndiagnose.
- Ansprechpartner für Sicherheitsfragen, möglicherweise mit anschließender Prämienregelung für die Meldung von Sicherheitslücken.
Das ist die Art von langfristiger Sicherheitshygiene, die nach einem IoT-Fiasko selten so deutlich dargelegt wird.
Was die Offenlegung und Behebung von Sicherheitslücken angeht, macht Yarbo vieles richtig: Das Unternehmen nennt den Forscher als Urheber, entschuldigt sich, räumt der Behebung der Probleme Priorität ein und erläutert sowohl kurzfristige Patches als auch langfristige architektonische Änderungen in verständlicher Sprache. Für Käufer vernetzter Geräte mit Blades ist dieses Maß an Transparenz ein positiver Präzedenzfall.
Yarbo hat sich jedoch ausdrücklich dafür entschieden, einen Fernzugriffstunnel beizubehalten – wenn auch mit verbesserten Kontrollmechanismen und Protokollen –, anstatt den Nutzern die Möglichkeit zu bieten, diesen zu entfernen oder sich vollständig davon abzumelden.
So sichern Sie IoT-Geräte
Die im Fall Yarbo aufgedeckten Schwachstellen sind quasi ein anschauliches Beispiel dafür, was dasGesetz zur Verbesserung der Cybersicherheit im Internet der Dinge (IoTCybersecurity Improvement Act ) bei der Nutzung durch die US-Regierung verhindern soll. Auch wenn das Gesetz nicht direkt auf Yarbo anwendbar ist, decken sich die vom National Institute of Standards and Technology (NIST) vorgegebenen Anforderungen genau mit den hier aufgetretenen Fehlern.
Es liegt also weiterhin an den Nutzern, sicherzustellen, dass sie:
- Ändern Sie die Standard-Anmeldedaten.
- Prüfen Sie vor dem Kauf eines IoT-Produkts, ob der Anbieter Updates bereitstellt und wie einfach diese zu installieren sind. Installieren Sie die Updates dann, sobald sie verfügbar sind.
- Wenn möglich, sollten Sie Ihre IoT-Geräte in einem separaten Netzwerk betreiben. Nutzen Sie ein Gäste-WLAN oder ein separates VLAN, sofern verfügbar.
- Deaktivieren Sie alles, was Sie nicht benötigen. Schalten Sie UPnP, Fernzugriff, Cloud-Steuerung und unnötige Dienste aus, wenn Sie diese nicht aktiv nutzen.
- Falls Ihr Router oder Ihre Sicherheitssoftware Verbindungen von IoT-Geräten protokolliert, überprüfen Sie diese Protokolle auf ungewöhnliche Spitzenwerte oder unbekannte Ziele.
Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.
Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl.
