Internetfähige Bohrmaschine demonstriert angemessenen Schutz im Internet der Dinge

Eine drahtlose Bohrmaschine mit Zugang zum Internet? Das ist nach Meinung von Mark Loveless ein wahr gewordener Alptraum der Cybersicherheit. Wenn es um das Internet der Dinge geht, so finden sich zahlreiche Beispiele, die die Skepsis des Experten rechtfertigen.

Der Forscher von Duo Security war der Meinung, dass „intelligente“ Bohrmaschinen in erster Linie ein Marketing-Gag des Herstellers sind, der den Vorteil des Produkts im Endeffekt in eine Zielscheibe für Angreifer verwandelt. Doch nachdem er die Bohrmaschine von Milwaukee Tool getestet hatte, war er angenehm überrascht festzustellen, dass das „Gehirn“ des Gerätes sicher und verantwortungsvoll umgesetzt wurde.

„Ich hatte nicht zu hoffen gewagt, dass eine „smarte“ Bohrmaschine sich als sicher erweisen könnte. Doch nach dem Test erwuchs in mir die Hoffnung, dass das Internet der Dinge für Konsumgeräte doch richtig umgesetzt sein könnte“, gestand Loveless ein.

Die Bohrmaschine, um die es geht, ist eine Milwaukee Tool ONE-KEY M18 Fuel 1/2″ Drill/ Driver und ihr Steuerungssystem basiert auf einer Plattform namens One-Key. One-Key ermöglicht es den Besitzern des Werkzeugs, unter Verwendung einer App oder einer Website, den Standort der Bohrmaschine mit Hilfe von GPS zu bestimmen, entfernt die Konfiguration des Geräts zu verändern (beispielsweise den Drehmoment des Bohrers) oder das Gerät abzuschalten, wenn es gestohlen wurde.

Nachdem Loveless das Werkzeug sorgfältig untersucht hatte, war er sehr beeindruckt, dass der Hersteller eine umfassende Bedrohungsmodellierung an dem Gerät vorgenommen hatte, zuverlässige Kryptobibliotheken mit offenem Quellcode verwendet und eine stabile SSL-Verschlüsselung integriert hatte. „Wären die Hersteller von Videoüberwachungskameras ebenso vorgegangen, so hätte das Botnet Mirai keinerlei Chancen gehabt“, sagte er.

„Das bedeutet nicht, dass alles ideal war“, sagt Loveless. Er entdeckte „unbedeutende Sicherheitslücken“. Eine bestand darin, dass das Passwort in der Smartphone-App hartcodiert ist. Eine andere Lücke gab einem potentiellen Dieb die Möglichkeit, die Bohrmaschine problemlos mit einem Bluetooth-Scan aufzuspüren.

Zudem könnten die GPS-Daten über den Standort der Bohrmaschine gefälscht werden. „Wenn ich Ihre Bohrmaschine stehlen würde, könnte ich die GPS-Daten dahingehend manipulieren, dass es so aussieht, als hätte der Nachbar das Werkzeugt geklaut“, führte der Forscher als Beispiel an.

Insgesamt identifizierte Duo Security vier Sicherheitslücken, von denen zwei eindeutige CVE-Nummern zugewiesen wurden.

Die Schwachstelle CVE-2017-3214 hängt damit zusammen, dass die „ONE-KEY-App Account-Daten im Format base-64 enthält, die für den Erhalt des Bearer-Tokens unerlässlich sind. Der Bearer-Token eröffnet Lese- und Schreibzugriff auf die Informationen auf der Website von Milwaukee Tool“.

Die Sicherheitslücke CVE-2017-3215 besteht darin, dass die One-Key-Apps Tokens verwendet, die eine ungewöhnlich lange Gültigkeitsdauer haben – ein Jahr anstelle der sonst üblichen 1-2 Stunden. Daher könnte ein Angreifer bei Diebstahl oder Kompromittierung des Telefons sich den Token aneignen und ihn benutzen, – heißt es in dem Bericht von DUO Security.

„In diesem Fall geht es um eine Bohrmaschine. Doch würde es sich um eine Insulinpumpe, einen Herzschrittmacher oder eine Alarmanlage handeln, so nähme man diese Sicherheitslücken durchaus ernster“, sagt Loveless.

Loveless wies abschließend zudem darauf hin, dass die „intelligente“ Bohrmaschine von Milwaukee Tool wohl eher die Ausnahme und nicht die Regel ist, was die IoT-Sicherheit betrifft. „Da die Konkurrenz Milwaukee dicht auf den Fersen ist, beschloss das Unternehmen, die Messlatte höher zu legen und schon bei der Entwicklung die Sicherheit zu berücksichtigen – und nicht erst in aller Eile, wenn das Produkt bereits auf dem Markt ist.“

Source: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.