[English]Wer eine Home-Automatisierung von Nexx besitzt und diese per Fernsteuerung seiner Garagentore benutzt, hat nun ein fettes Problem. Eine Schwachstelle in der Nexx-Fernsteuerung ermöglicht Hackern den nicht autorisierten Zugriff auf die Garagentore. Die können dann remote auf diese Steuerung zugreifen, das Garagentor öffnen und ggf. über diesen Weg in die Garage oder sogar in Gebäude eindringen. Es gibt leider keine Gegenmaßnahme gegen solche Manipulationen.
Anzeige
Nexx Home-Automatisierung
Nexx ist ein US-Anbieter, der im Bereich Heimautomatisierung mit intelligenten Lösungen zur Garagentorsteuerung, Alarmanlagen etc. wirbt. Auf der Webseite wird unter anderem damit geworben, wie einfach die Produkte zu verwenden seien. Der Hersteller nennt dies Smart Living.
Nexx bietet eine einfache Heimautomatisierung mit Produkten an, die so konzipiert sind, dass sie mit Dingen funktionieren, die die Leute bereits besitzen. Jedes Nexx-Gerät verfügt laut Anbieter über eine integrierte Technologie, die sich über einen vorhandenen Heimrouter und ein WLAN mit dem Internet verbindet. Natürlich gibt es eine App, mit der man dann den Garagenzugang über die Garagentorsteuerung per WiFi und Internet remote, von jedem Ort der Welt, bedienen kann. Die App arbeitet mit Sprachassistenten wie Siri, Google-Geräten, Amazon Echo und anderen Alexa-fähigen Geräten wie CoWatch zusammen, damit Nutzer angeschlossene Geräte nur mit ihrer Stimme steuern können ("Hey, Siri… öffne meine Garage.").
Die Nexx Home-App kommuniziert dann über "die Cloud" mit den Nexx-Geräten und ermöglicht Nutzern die vollständige Kontrolle von überall auf der Welt, heißt es auf den Werbeseiten des Herstellers. Die Server für die Cloud stehen dabei in den USA, so dass die Verbreitung in Europa eher begrenzt sein dürfte (hier ist Hörmann der Platzhirsch). Ich habe mal gesucht, auf eBay findet man Angebote für solche Komponenten, und dieser Blog-Beitrag stellt das Konzept auf Deutsch vor.
Anzeige
Der Hersteller wirbt damit, dass die Daten durch eine Verschlüsselung nach Industriestandard vollständig geschützt seien. Die Verschlüsselung ist so stark, dass nicht einmal Apple oder Google an Ihre Daten herankommen können, heißt es.
Schwachstelle in Nexx Garagentorsteuerung
Leider wird diese schöne neue Welt gerade sicherheitstechnisch "pulverisiert", denn es gibt eine Schwachstelle in der Nexx Garagentorsteuerung, die es Angreifern ermöglicht, von jedem Ort der Welt remote die Garagentore zu öffnen und zu manipulieren. Sozusagen die "Nexx Garagentorsteuerung mit der Lizenz zum Öffnen" – und es gibt keine Gegenmaßnahme.
Die Kollegen von Bleeping Computer weisen in obigem Tweet und in diesem Artikel auf diesen Sachverhalt hin. Es gibt nicht nur eine Schwachstelle, sondern die Experten von Nexx, laut eigener Aussage "Spezialisten auf ihrem Gebiet", haben gleich mehrere Schwachstellen in ihrem Konzept übersehen. Es gibt fünf öffentlich bekannt gewordene Sicherheitslücken, deren Schweregrad von mittel bis kritisch reicht und die der Hersteller bisher weder bestätigt noch behoben hat. Diese Sicherheitslücken in den intelligenten Geräten von Nexx können ausgenutzt werden, um Garagentore zu steuern, Hausalarme oder intelligente Stecker zu deaktivieren.
Sicherheitsforscher Sam Sabetan ist bereits 2022 auf diese Schwachstellen in den Nexx-Geräten gestoßen und hat eng mit der Agentur für Cybersicherheit und Infrastruktursicherheit des US-Heimatschutzministeriums (CISA) zusammengearbeitet, um die Forschungsergebnisse nach einer gewissen Frist zu veröffentlichen. Sabetan hat das Ganze zum 4. April 2023 auf Medium im Beitrag The Uninvited Guest: IDORs, Garage Doors, and Stolen Secrets veröffentlicht. Die CISA hat die folgenden fünf CVEs zugewiesen:
- Verwendung von festcodierten Anmeldeinformationen CWE-798 (CVE-2023-1748, CVSS3.0: 9.3)
- Umgehung der Autorisierung durch einen vom Benutzer kontrollierten Schlüssel CWE-639 (CVE-2023-1749, CVSS3.0: 6.5)
- Umgehung der Autorisierung durch einen benutzergesteuerten Schlüssel CWE-639 (CVE-2023-1750, CVSS3.0: 7.1)
- Unsachgemäße Eingabevalidierung CWE-20 (CVE-2023-1751, CVSS3.0: 7.5)
- Unzulässige Authentifizierungsprüfung CWE-287 (CVE-2023-1752, CVSS3.0: 8.1)
Einzelheiten finden Sie in der CISA-Veröffentlichung ICSA-23-094-01. Am 4. Januar 2023 hat der Sicherheitsforscher den Anbieter über die Schwachstellen informiert. Nexx hat auf keinerlei Korrespondenz des Sicherheitsforschers, dem DHS (CISA und US-CERT) oder der VICE Media Group geantwortet. Der Sicherheitsforscher schreibt, dass Nexx alle Versuche, bei der Behebung der Schwachstellen zu helfen, absichtlich ignoriert und zulässt, dass diese kritischen Schwachstellen weiterhin die Nutzer der Geräte beeinträchtigen.
Eine Schwachstelle ermöglicht es, dass ein Angreifer E-Mail-Adressen, Geräte-IDs und Vornamen sammeln und so die Nexx-Benutzer identifizieren kann. Eine weitere Schwachstelle erlaubt quasi Jedermann von jedem Ort der Welt Garagentore, die über Nexx-Komponenten gesteuert werden, zu öffnen oder zu schließen. Intelligente Nexx-Garagensteuerungen können anhand einer E-Mail-Adresse, einer Geräte-ID oder eines Vornamens und Nachnamens gesucht und geöffnet werden. Die Kollegen von Bleeping Computer haben im Artikel hier noch weitere Details sowie ein Video, welches den Zugriff auf ein Garagentor per App zeigt, veröffentlicht.
Sozusagen Smart Living auf eine andere Art interpretiert – aber das Verhalten des Herstellers fällt in das von mir beobachtete Raster "Dummenfang über Hochglanz Webseiten mit Versprechen der möglichst einfachen Bedienung, Integration per App und Sprachsteuerung", aber im Hintergrund mehr schlecht als recht zusammengestoppelte Komponenten, die vor Sicherheitslücken nur so strotzen. Support zum Beheben der Schwachstellen gibt es keinen und nach wenigen Jahren verschwinden die Komponenten vom Markt – das Cloud-Angebot wird eingestellt und die naiven Nutzer machen große Augen, weil das Zeugs nicht mehr funktioniert. In meinem Beitrag zu D-Link schlagen seit Anfang des Jahres Kommentare erboster Nutzer ein, die nie wieder ein Produkt dieses Herstellers kaufen wollen.
Anzeige
Der Fehler liegt schon am Konzept!
Warum muss alles in die "Cloud"? Daten abgreifen, generieren?
Reicht nicht eine "Steuerung" zu Hause, die per VPN erreichbar ist?
Ich frag mich persönlich auch welcher Anwendungsfall es nötig macht, dass die Garage in der Cloud ist….
Entweder steht man vor/in der Garage und will rein/raus oder was? ¯\_(ツ)_/¯
Ich sehe auch nicht die Notwendigkeit, dass das Garagentor unbedingt in irgendeine HomeAutomation-Anwendung eingebunden ist. Funk ist auch nicht unproblematisch, aber besser als wenn Jemand am anderen Ende der Welt alle Tore explorern könnte und durch irgendwelche Metadaten noch den Standort rausfindet.
Na ja, es gibt Menschen, die wie ein Uhrwerk "laufen", die kommen immer zur selben Zeit nach Hause, und weil sie auch obendrein zu faul sind eine Fernbedienung zu nutzen, ist es doch toll, wenn das Garagentor schon offen ist, wenn sie ankommen.
Auch toll, es schließt sich dann beim von dannen Fahren wie von Geisterhand.
Erinnert mich alles irgendwie an Wall*E. ;)
Dicke Menschen, unfähig selbst noch irgendetwas zu tun, aber voll versorgt von Maschinen.
Gut, so weit sind wir noch nicht, aber darauf läuft es doch irgendwann hinaus!
Einfach und sicher sind leider oft Widersprüche.
Vor allem wenn die Kunden keine Lust haben, sich mit den Produkten zu beschäftigen.
Ich mag diese Cloud-Lösungen für den privaten Bereich aus mehreren Gründen nicht:
Zum einen ist ein Dritter involviert, der alle Nutzungsdaten kennt und meinen Lebensablauf analysieren kann. Der kann, obwohl er selbst seriös ist, aber trotzdem gehackt oder erpresst werden.
Zum anderen besteht die Gefahr, daß grad das Internet nicht läuft oder das Unternehmen seinen Geschäftsbetrieb einstellt und dann funktioniert bei mir nix mehr.
Das Thema taucht auch an Stellen auf, wo man es nicht unbedingt erwartet. Stromspeicher für PV-Anlagen zum Beispiel. Es gibt Modelle, welche ohne Internet bzw. Kontakt zur Cloud nach ein paar Tagen die Funktion einstellen. Das war für uns z.B. ein Ausschlusskriterium. Wenn es dumm läuft und der Anbieter geht nach drei Jahren pleite, dann hat man eines sehr teuren Wandbeschwerer im Keller. Wir haben bewusst drauf geachtet, dass die essentiellen Grundfunktionen auch ohne Internet funktionieren.
Es muß noch nicht einmal das Unternehmen seinen Geschäftsbetrieb einstellen.
Es reicht schon, wenn das Unternehmen den entsprechenden Service einstellt.
Und da gibt es viele Beispiele, bei denen etwas nicht mehr funktioniert, weil das Unternehmen den Service eingestellt hat. Man wird dann auf das "viel bessere" Nachfolgeprodukt verwiesen. Teilweise laufen diese Services nur 5 Jahre und danach hat man da nur noch Elektroschrott herumstehen.
Eine Garagensteuerung, Heimautomatisation, etc. und auch eine PV gehören nicht in die "Cloud", die haben auch ohne Internet zu funktionieren.
Bzgl. Garagensteuerung: Dazu braucht es nicht einmal ein VPN.
Die meisten Leute haben doch eh WLAN im Haus und das reicht auch noch ein paar Meter bis auf die Straße. Und da reicht es, wenn sich das Smartphone in Reichweite befindet, um Sachen übers Netzwerk zu steuern. Wobei man das eh nur tun darf, wenn man auf dem eigenen Grundstück steht, denn sonst ist es eine illegale Handlung, da man das Smartphone gar nicht in die Hand nehmen darf, wenn man sich auf der Straße befindet.
Cloud für alles ist ein Irrweg.
Aber Cloud ist doch gut wenn man sich laufende Einnahmen verschaffen will.
Schönes Garagentor haben Sie da. Wäre doch schade wenn das nicht mehr funktioniert..
Schönes Unternehmen haben Sie da, wäre doch schade wenn Sie keine E-Mails mehr bekämen…
…hier unsere neue Preisliste. Wir konnten verhindern den Preis zu verfünffachen Daulher nur für Sie das 4ache