Smarter Kühlschrank macht Gmail-Account angreifbar

Wie The Register berichtet, wurde auf der DEF CON ein Exploit für eine Sicherheitslücke im Kühlschrank Samsung RF28HMELBSR vorgestellt. Forscher des Unternehmens Pen Test Partners entdeckten, dass der Kühlschrank, der eine SSL-Verbindung verwendet, die SSL-Zertifikate nicht überprüft, wodurch Angriffe des Typs „Man-in-the-Middle“ möglich werden.

Das Gerät lädt Informationen aus dem Google-Kalender und zeigt sie auf seinem Display an. Das Vorhandensein dieser Sicherheitslücke bedeutet, dass ein Hacker, dem es gelingt, in dasselbe Netz einzudringen, potentiell in der Lage ist, Login-Daten für Google-Accounts zu stehlen.

„Der Kühlschrank mit Internetverbindung zeigt auf dem Display Informationen aus dem Gmail-Kalender an“, erklärt Ken Munro, Sicherheitsforscher von Pen Test Partners. „Es scheint, als würde das wie in jedem beliebigen Gerät mit Gmail-Kalender funktionieren. Der authentifizierte Nutzer/Inhaber des Kalenders trägt Änderungen ein und diese Änderungen können auf jedem Gerät eingesehen werden, über das der Kalender sichtbar ist.

Obgleich SSL verwendet wird, überprüft der Kühlschrank nicht die Echtheit des Zertifikats. Folglich können Hacker, die in der Lage sind, sich mit Netz zu verbinden, an das der Kühlschrank angeschlossen ist (beispielsweise mittels Reassoziation und Erstellung eines gefälschten Wi-Fi-Zugriffspunkts), im Datenübertragungskanal des Kalender-Clients die Position eines „Man in the Middle“ einnehmen und die Google-Accountdaten stehlen.

Quelle: The Register

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.