Sicherheitslücke bei LG

  • http://www.spiegel.de/netzwelt…augroboter-a-1174879.html



    "Experten warnen immer wieder davor, dass vernetzte Haushaltsgeräte nicht nur bequem zu bedienen sind, sondern eben auch missbraucht werden können. Smarte Gadgets können ein Einfallstor ins private WLAN sein und Wohnzimmer-Assistenten als Wanze missbraucht werden. Der Laie ist oft machtlos und muss sich auf die Sicherheitsvorkehrungen der Hersteller verlassen."

  • Interessanter Artikel! Vielen Dank dafür. Gibt es aber für uns Endverbraucher eine Möglichkeit gegen solche Missbräuche schützen kann?
    Bin gerade dabei am Überlegen, ob ich mir einen Saugroboter zu holen und nach dem ich den Artikel gelesen habe, überlege ich doch umzuschwenken.

  • Gibt es aber für uns Endverbraucher eine Möglichkeit gegen solche Missbräuche schützen kann?


    Gegen unbekannte Sicherheitslücken in IT-Geräten kann man sich leider nicht schützen. Aber man kann den gesunden Menschenverstand einschalten und überlegen, ob denn jedes Haushaltsgerät ans Internet angebunden werden muss.


    Welche Vorteile haben Cloud-Anbindung und App-Steuerung überhaupt, die das permanente Risiko rechtfertigen, dass Hacker ins heimische Netz eindringen könnten? Darüber hinaus senden Gegenstände mit Web-Zugang potentiell permanent Daten an den Hersteller und auch Dritte (z.B. sehr häufig an Google). Ggf. greifen auch staatliche Stellen auf die Daten zu und verletzen so das eigene Persönlichkeitsrecht und das Grundrecht auf Unverletzlichkeit der Wohnung vorsätzlich. All diese Rechte wirft man leichtfertig weg, wenn man solche Gerät betreibt. Meist ohne gewichtigen Grund, denn es gibt kaum Vorteile gegenüber gleichwertigen Geräten, die offline betrieben werden können.


    Aber das muss jeder für sich abwägen. Die überwiegende Mehrheit der Bevölkerung möchte offensichtlich vollkommen gläsern sein. Millionen Fliegen können wohl nicht irren...

  • Gegen unbekannte Sicherheitslücken in IT-Geräten kann man sich leider nicht schützen. Aber man kann den gesunden Menschenverstand einschalten und überlegen, ob denn jedes Haushaltsgerät ans Internet angebunden werden muss.


    Welche Vorteile haben Cloud-Anbindung und App-Steuerung überhaupt, die das permanente Risiko rechtfertigen, dass Hacker ins heimische Netz eindringen könnten? Darüber hinaus senden Gegenstände mit Web-Zugang potentiell permanent Daten an den Hersteller und auch Dritte (z.B. sehr häufig an Google). Ggf. greifen auch staatliche Stellen auf die Daten zu und verletzen so das eigene Persönlichkeitsrecht und das Grundrecht auf Unverletzlichkeit der Wohnung vorsätzlich. All diese Rechte wirft man leichtfertig weg, wenn man solche Gerät betreibt. Meist ohne gewichtigen Grund, denn es gibt kaum Vorteile gegenüber gleichwertigen Geräten, die offline betrieben werden können.


    Aber das muss jeder für sich abwägen. Die überwiegende Mehrheit der Bevölkerung möchte offensichtlich vollkommen gläsern sein. Millionen Fliegen können wohl nicht irren...


    Hmm..Ja, da hast du recht. Aber der Trend geht in Richtung "Internet of Things" sprich, wo im Prinzip alle Geräte mit dem Internet verknüpft werden. Laut einem Bericht soll bis 2020 voraussichtlich 10 Milliarden Internet-fähiger Gegenstände geben. Ein gutes Beispiel ist das in den USA sehr beliebte Nest-Thermostat, das ein konventionelles Raumthermostat in einen intelligenten Gegenstand verwandelt, der die Raumtemperatur beobachtetet und Verhaltensmustern und Gewohnheiten des Benutzers anpasst.
    Vielleicht übertreibe ich ein wenig, aber ich bin sehr sensible was meine Daten etc betrifft und nein habe meinen Router nicht weggeworfen als die WPA2 Lücke bekannt wurde :)

  • ...der die Raumtemperatur beobachtetet und Verhaltensmustern und Gewohnheiten des Benutzers anpasst.


    Die Verhaltensmuster und Gewohnheiten der Bewohner werden dazu an Google gesendet, dort gespeichert und -wenn möglich- über das Google-Konto mit anderen Daten des Nutzers verknüpft. Für Google wird man dadurch noch sehr viel transparenter, als man es eh schon ist.


    Und wofür machen sich die Leute nackig? Für den Komfort, die Zeitschaltuhr ihrer Heizung nicht selbst einstellen zu müssen, sondern dies durch Nest vornehmen zu lassen. Das rechtfertigt die Aufgabe der Privatsphäre in keiner Weise, finde ich. Durch Nest ist nichts gewonnen -außer für Google natürlich-. Der Nutzer verliert sogar noch mehr, denn irgendwann ist er zu blöd, seine Heizung selbst zu bedienen und kommt ohne Nest gar nicht mehr damit zurecht.


    Der Trend, alles vernetzen zu wollen, ist ungebrochen, das ist wahr. Aber muss man denn jedem Trend zwanghaft folgen? Es gibt auch den Trend, sich chirurgisch die Geschlechtsteile verschönern zu lassen. Machst Du das auch mit? Das war eine rhetorische Frage, bitte nicht beantworten! :-) Man kann ja auch einfach mal seinen Grips benutzen und sich bewusst gegen einen Trend entscheiden, wenn er einem dumm/überflüssig/gefährlich erscheint.


    Viele haben erkannt, dass das Internet of things (IoT) wenig Nutzen bringt, aber dafür viele Gefahren birgt, also zum Internet of trouble wird. Ein ganz amüsanter Beitrag ist dieser hier: https://www.heise.de/newsticke…hitty-Things-3492221.html

  • Ich finde man kann das Thema zu Tode schreiben. Wir stecken alle schon bis zum Hals drin. Nix mehr Handy wegen Bewegungsdaten, nix mehr Internet wegen Surfgewohnheiten und von den Sozialen Netzwerken ganz zu schweigen. Wenn du dich nicht mit dem Lendenschurz in den Busch hockst bist Du eh mittendrin. Es bleibt nur keine Scheiße bauen, dann kann mir ccc auch bei der Morgentoilette zusehen.


  • Hmm, einfach mal unreflektiert eine "Horror"-Meldung platziert?


    Wollen mal sehen...


    Quote

    Spähangriff per Saugroboter
    Sicherheitsexperten haben eine Schwachstelle in der Smart-Home-Anwendung des Elektronikherstellers LG entdeckt. Dank der Lücke konnten sie einen Staubsauger zum Spionagewerkzeug machen.


    Eine reißerische Schlagzeile, gefolgt von einer Falschmeldung im Resumée.


    Quote

    Mitarbeiter der Firma Check Point haben für den Spähangriff nach eigenen Angaben eine Schwachstelle in der Smart-Home-Anwendung SmartThinQ ausgenutzt.


    Aha: die dicke, fette Sicherheitslücke wurde in der Steuerungssoftware gefunden und ausgenutzt!
    Exakt diese Anwendung wäre korrekterweise der Aufmacher gewesen.


    Quote

    Einer Check-Point-Mitteilung zufolge wurde der Saugroboter gekapert, indem ein gefälschtes Profil erstellt wurde.


    Dieser Zugriff gelang allerdings nur deshalb, weil obige Steuerungssoftware offensichtlich offen ist wie ein Scheunentor.


    Zwar hat LG eine Schwachstelle im Sauger bestätigt, jedoch bleibt die Frage nach wie vor offen, ob diese auch direkt hätte ausgenutzt werden können.


    me2: auch auf die Gefahr hin, daß ich Dir auf die Füße steige: durch Lesen des Artikels, auf dem Niveau einer BILD Zeitung, hättest Du mit Deinem Beitrag sofort die Dramatik entschärfen können, nicht wahr? ;)


    Gruß Tom

    garbage in -- gospel out

  • Es tut mir leid, ich habe den Artikel nicht geschrieben, sondern nur verlinkt und zitiert. Aber ausgerechnet den SPIEGEL habe ich verlinkt, der ja für reißerischen, unseriösen Sensationsjournalismus weithin bekannt ist. Das hätte ich wohl besser gelassen, ich Dummerchen. Das sind gar keine echten Sicherheitslücken, die vom Spiegel wollen Euch nur Eure elektrischen Spielzeuge madig machen. Voll gemein ist das.


    Das unseriöse und für Fake-News berüchtigte IT-Portal "Heise" schreibt gar ""HomeHack"-Angriff macht aus smarten Staubsagern Spionage-Tools" Das ist noch viel gemeiner, also verlinke ich den bösen und bestimmt voll übertriebenen Artikel nicht. Das sind doch gar keine IT-Nachrichten, was die da verbreiten.


    Weißt Du, meine kleine Tochter hat da auch eine super Strategie: wenn sie die Augen zumacht, dann kann das böse Monster aus dem Schrank sie nicht mehr finden. Bisher hat das klasse funktioniert. Genauso läuft es auch in der IT: Probleme einfach totschweigen und ignorieren und schon ist das Internet wieder ein friedlicher und sicherer Ort für alle. Also machen wir das einfach so und alles ist wieder gut.

  • Nett und Freundlich bleiben und nicht Provozieren

    Mit freundlichen Grüßen Schelm1
    3x Robomow RS 630 + 3x Husqvarna Automower 450 X & 1x Automower 430X für 11.500m² / 2x Vorwerk VR200 / VR300 Neato D7 + D5 + BotVac D85 (AD) + Connected (AD) / 2x IRobot Roomba 980 /EVO M678 + Braava 380/ Scooba 450 / iRobot Looj 330 / 2x Ecovacs Deebot 950 + OZMO Slim 10 / Roborock S50 / Hunter Bewässerungsanlage :thumbsup: / Miele RX2 (AD) , Xiaomi Mi Gen. 1 / Samsung Navibot 8895 und 8981 :rolleyes5: / ILIFE A4 :frown2: ----- Smart Home: eQ-3 Homematic IP + CCU3 , Fritzbox-Homematic , Lupusec XT2 und XT3 , Nuki Smart Lock 2.0, Philips Hue , Osram Lightify / ---> Tipps zum Robomow RS / MS / RC / MC <--- / Rechtshinweis: Alle Angaben sind ohne Gewähr und stellen nur meine Meinung dar. Beachte ---> § 3 <---

  • me2:
    Deine provokante Polemik kannste Dir sparen - die Fakten hingegen stehen in meinem kurzen Beitrag.


    N.B. über den "Qualitätsjournalismus" eines Spiegel liese sich vortrefflich bis zum Jüngsten Tag streiten... ;)
    Die, im verlinkten Artikel, vertauschten Tatsachen sprechen dabei für sich.


    Weshalb schrieb ich meinen Beitrag?


    In Zeiten, in denen Nichtigkeiten gleich zu ausgewachsenen Dramen hochstilisiert werden - und dabei die Unkenntnis der Nutzer ausgenutzt wird, um mit populistischen Meldungen Umsatz zu generieren - ist es umso wichtiger, bei den Fakten zu bleiben, anstatt die Nutzer oftmals unnötig zu verunsichern.
    Exakt das wäre Deine Aufgabe als TS gewesen, IMHO.


    Aktuelles Beispiel zu meiner soeben getägigten Aussage gefällig?


    WPA2 Sicherheitslücke bei Routern - kam sogar in der Tagesschau - mit massenhaft verunsicherten Nutzern gerade älterer Router, für die der Hersteller kein Upgrade der Firmware (mehr) anbietet.


    Was ist dran?


    Ein ordentlich konfigurierter - und dazu gehört u.a. deaktiviertes WPS, denn dieses Feature war von Anbeginn fragwürdig - Router ist davon nicht betroffen, sofern er nicht als Repeater fungieren soll. Und selbst dann hängt es von weiteren, aktivierten Features ab, ob der Angriff erfolgreich sein könnte; zudem muß der Angreifer in räumlicher Nähe zum Router und Client agieren.


    Aber selbst dann ist nicht der Router das eigentliche Einfallstor, sondern der Client - sprich in den allermeisten Fällen das Händy, das diese replay-Attacke überhaupt erst möglich macht.
    Exakt diese müßten einen Bugfix erhalten - und nun die Gretchenfrage: wann hast Du für Dein älteres Händy das letzte Sicherheitsupdate erhalten?


    Quintessenz: WPA2 Lücke ja, aber weit entfernt von der Dramatik, mit der diese Lücke propagiert wurde.


    mod: selbstverständlich :)


    Gruß Tom

    garbage in -- gospel out

  • ...bei den Fakten zu bleiben...


    Ich habe auf eine journalistische Meldung des SPIEGEL verlinkt und einen Absatz aus dem Artikel zitiert. Ich habe weder etwas hinzugedichtet, noch anderweitig die Meldung verdreht. Jetzt kommst Du daher, maßt Dir an, die journalistische Qualität des Artikels beurteilen zu können und die Gefährlichkeit der Sicherheitslücke gleich mit. Du kommst zu dem Schluss, dass man sich dort auf dem Niveau der Bildzeitung bewegt und dass der reißerische Artikel die Gefährlichkeit der Lücke falsch darstellt. Als Beweis für Deine Analyse verweist Du in Deiner -freundlich formuliert- individuellen Bewertung auf die WPA2-Lücke.


    Jetzt kannst Du ja mal kurz darüber nachdenken, wer von uns beiden Fakten nennt, Du oder ich.


    Ich bin kein Sicherheitsexperte und kann die Gefährlichkeit einer Lücke nicht beurteilen. Du scheinst das zu beherrschen und kannst nach Lesen des SPIEGEL-Artikels Entwarnung geben, insbesondere weil ja generell alles übertrieben wird und das bei WPA2 auch so war. Glückwunsch, ich bin sehr beeindruckt, dass Dir aufgrund der wenigen Absätze des Artikels eine fundierte IT-Sicherheitsanalyse gelungen ist.


    Meine Intention den Artikel zu verlinken war, die LG-Nutzer auf die Meldung hinzuweisen. Dort hat LG die Lücke bestätigt und die Kunden aufgefordert, die Apps und Firmwares zu aktualisieren. Man könnte Dich als Experten jetzt natürlich fragen, wieso die Clients aktualisiert werden müssen, wo die Lücke doch in der Steuerungssoftware klaffte.


    Jedenfalls wollte ich einfach die Information ins Forum tragen, dass Handlungsbedarf für LG-Nutzer besteht. Der zitierte Text sollte noch darauf hinweisen, dass beim Einsatz von IoT-Geräten generell Vorsicht und Zurückhaltung geboten ist. Diese Beurteilung wird von vielen IT-Experten vertreten, ich kann sie nicht entkräften. Du scheinst ein noch größerer Experte als die anderen Experten zu sein und hältst das für reißerischen Humbug. Entweder hast Du deine eigenen "Fakten" oder bist ein Genie. Nun ja, das mögen andere beurteilen.