{"id":279409,"date":"2023-04-06T07:53:11","date_gmt":"2023-04-06T05:53:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279409"},"modified":"2024-10-04T11:00:42","modified_gmt":"2024-10-04T09:00:42","slug":"nexx-garagentorsteuerung-schwachstelle-erlaubt-zugriff-fr-hacker","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/06\/nexx-garagentorsteuerung-schwachstelle-erlaubt-zugriff-fr-hacker\/","title":{"rendered":"Nexx Garagentorsteuerung: Schwachstelle erlaubt Zugriff für Hacker"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Wer eine Home-Automatisierung von Nexx besitzt und diese per Fernsteuerung seiner Garagentore benutzt, hat nun ein fettes Problem. Eine Schwachstelle in der Nexx-Fernsteuerung erm\u00f6glicht Hackern den nicht autorisierten Zugriff auf die Garagentore. Die k\u00f6nnen dann remote auf diese Steuerung zugreifen, das Garagentor \u00f6ffnen und ggf. \u00fcber diesen Weg in die Garage oder sogar in Geb\u00e4ude eindringen. Es gibt leider keine Gegenma\u00dfnahme gegen solche Manipulationen.<\/p>\n

<\/p>\n

Nexx Home-Automatisierung<\/h2>\n

\"\"Nexx ist ein US-Anbieter, der im Bereich Heimautomatisierung mit intelligenten L\u00f6sungen zur Garagentorsteuerung, Alarmanlagen etc. wirbt. Auf der Webseite<\/a> wird unter anderem damit geworben, wie einfach die Produkte zu verwenden seien. Der Hersteller nennt dies Smart Living.<\/p>\n

\"NEXX<\/a><\/p>\n

Nexx bietet eine einfache Heimautomatisierung mit Produkten an, die so konzipiert sind, dass sie mit Dingen funktionieren, die die Leute bereits besitzen. Jedes Nexx-Ger\u00e4t verf\u00fcgt laut Anbieter \u00fcber eine integrierte Technologie, die sich \u00fcber einen vorhandenen Heimrouter und ein WLAN mit dem Internet verbindet. Nat\u00fcrlich gibt es eine App, mit der man dann den Garagenzugang \u00fcber die Garagentorsteuerung per WiFi und Internet remote, von jedem Ort der Welt, bedienen kann. Die App arbeitet mit Sprachassistenten wie Siri, Google-Ger\u00e4ten, Amazon Echo und anderen Alexa-f\u00e4higen Ger\u00e4ten wie CoWatch zusammen, damit Nutzer angeschlossene Ger\u00e4te nur mit ihrer Stimme steuern k\u00f6nnen (\"Hey, Siri… \u00f6ffne meine Garage.\").<\/p>\n

Die Nexx Home-App kommuniziert dann \u00fcber \"die Cloud\" mit den Nexx-Ger\u00e4ten und erm\u00f6glicht Nutzern die vollst\u00e4ndige Kontrolle von \u00fcberall auf der Welt, hei\u00dft es auf den Werbeseiten des Herstellers. Die Server f\u00fcr die Cloud stehen dabei in den USA, so dass die Verbreitung in Europa eher begrenzt sein d\u00fcrfte (hier ist H\u00f6rmann der Platzhirsch). Ich habe mal gesucht, auf eBay findet man Angebote<\/a> f\u00fcr solche Komponenten, und dieser Blog-Beitrag stellt das Konzept auf Deutsch vor.<\/p>\n

Der Hersteller wirbt damit, dass die Daten durch eine Verschl\u00fcsselung nach Industriestandard vollst\u00e4ndig gesch\u00fctzt seien. Die Verschl\u00fcsselung ist so stark, dass nicht einmal Apple oder Google an Ihre Daten herankommen k\u00f6nnen, hei\u00dft es.<\/p>\n

Schwachstelle in Nexx Garagentorsteuerung<\/h2>\n

Leider wird diese sch\u00f6ne neue Welt gerade sicherheitstechnisch \"pulverisiert\", denn es gibt eine Schwachstelle in der Nexx Garagentorsteuerung, die es Angreifern erm\u00f6glicht, von jedem Ort der Welt remote die Garagentore zu \u00f6ffnen und zu manipulieren. Sozusagen die \"Nexx Garagentorsteuerung mit der Lizenz zum \u00d6ffnen\" – und es gibt keine Gegenma\u00dfnahme.<\/p>\n

\"Nexx<\/a><\/p>\n

Die Kollegen von Bleeping Computer weisen in obigem Tweet<\/a> und in diesem Artikel<\/a> auf diesen Sachverhalt hin. Es gibt nicht nur eine Schwachstelle, sondern die Experten von Nexx, laut eigener Aussage \"Spezialisten auf ihrem Gebiet\", haben gleich mehrere Schwachstellen in ihrem Konzept \u00fcbersehen. Es gibt f\u00fcnf \u00f6ffentlich bekannt gewordene Sicherheitsl\u00fccken, deren Schweregrad von mittel bis kritisch reicht und die der Hersteller bisher weder best\u00e4tigt noch behoben hat. Diese Sicherheitsl\u00fccken in den intelligenten Ger\u00e4ten von Nexx k\u00f6nnen ausgenutzt werden, um Garagentore zu steuern, Hausalarme oder intelligente Stecker zu deaktivieren.<\/p>\n

Sicherheitsforscher Sam Sabetan ist bereits 2022 auf diese Schwachstellen in den Nexx-Ger\u00e4ten gesto\u00dfen und hat eng mit der Agentur f\u00fcr Cybersicherheit und Infrastruktursicherheit des US-Heimatschutzministeriums (CISA) zusammengearbeitet, um die Forschungsergebnisse nach einer gewissen Frist zu ver\u00f6ffentlichen. Sabetan hat das Ganze zum 4. April 2023 auf Medium im Beitrag The Uninvited Guest: IDORs, Garage Doors, and Stolen Secrets<\/a> ver\u00f6ffentlicht. Die CISA hat die folgenden f\u00fcnf CVEs zugewiesen:<\/p>\n