Sicherheitsforscher von Pen Test Partners warnen: Ein gravierender Konstruktionsfehler in Shelleys neuer Gen‑4‑Alarmtechnik könnte Millionen europäischer Haushalte für Angriffe öffnen.
IT-Sicherheitsforscher einer auf Cybersicherheit spezialisierten Beratung wollen eine schwere Schwachstelle in Smart-Home-Produkten von Shelly entdeckt haben. Das Unternehmen bietet in Europa Sicherheitssysteme für Privathaushalte an.
Nach eigenen Angaben kommen Shelly-Produkte in mehr als fünf Millionen zweihunderttausend europäischen Haushalten zum Einsatz. Die Konstruktionsschwäche öffne eine unsichtbare Hintertür in diese Wohnungen, die die meisten Nutzerinnen und Nutzer nie entdecken, kritisiert Pen Test Partners.
Die neuen Gen-4-Geräte von Shelly für Smart-Home-Technik lassen laut Pen Test Partners den offenen WLAN-Zugangspunkt, der für die Erstkonfiguration nötig ist, dauerhaft aktiv. Das gilt auch, nachdem sie korrekt mit dem heimischen WLAN verbunden sind. So bleibt im Hintergrund ein verborgenes Netzwerk bestehen, ohne Wissen oder Zustimmung der Bewohner, lange nach Abschluss der Einrichtung.
Frühere Modelle des Unternehmens schalteten diesen Zugangspunkt automatisch ab, sobald das Gerät mit dem heimischen WLAN verbunden war.
Die Schwachstelle kann dazu führen, dass Unbefugte direkt vor dem Haus das heimische WLAN nutzen, um die Haustür, das Garagentor oder eine Einfahrt zu öffnen. Das erhöht das Risiko für Einbrüche und Diebstähle erheblich.
Das Problem reicht jedoch deutlich weiter. Eine umfassendere Untersuchung von Pen Test Partners legt nahe, dass es sich nicht nur um einen simplen Konstruktionsfehler handelt.
Die Gen-4-Lücke macht es möglich, ein einziges betroffenes Gerät als Sprungbrett zu nutzen, um sich Zugang zu nahezu allen Smart-Home-Komponenten im Haushalt zu verschaffen – unabhängig davon, ob sie von Shelly stammen oder von anderen Herstellern.
In vielen europäischen Smart Homes laufen heute gemischte Netzwerke aus Geräten verschiedener Generationen, von Shelly und von Wettbewerbern. Nach Einschätzung der Experten entsteht dadurch ein gravierendes Sicherheitsleck – digital und ganz konkret vor Ort.
Noch keine Abhilfe
Pen Test Partners hat nach eigenen Angaben Shelly über die Sicherheitslücke informiert. Das Unternehmen erklärte, die Firmware-Version 1.8.0, eine Reihe von Geräte-Updates, solle das Problem beheben.
Bislang müssen Nutzerinnen und Nutzer die offenen Zugangspunkte jedoch selbst manuell abschalten – vielen Hausbesitzern ist offenbar gar nicht bewusst, dass sie aktiv werden müssen.
„Sie sollten eine große Informationskampagne starten und erklären, dass ein Zugangspunkt offen geblieben ist – und wie man ihn deaktiviert. Das tun sie nicht, vermutlich aus Sorge um ihren Ruf“, sagte Ken Munro, Gründer von Pen Test Partners, Euronews Next.
Shelly erklärte gegenüber Euronews Next, bei Nutzerinnen und Nutzern, die die offizielle Einrichtung über die Mobil-App durchlaufen, werde der Zugangspunkt automatisch deaktiviert.
Wer sich für eine manuelle Konfiguration entscheidet, erhält Warnhinweise, den Zugangspunkt abzusichern. Ein kommendes Firmware-Update soll die Zugangspunkte nach einer gewissen Zeitspanne automatisch abschalten.
„Wir möchten betonen, dass alle Konfigurationsabläufe und digitalen Oberflächen im Shelly-Ökosystem – einschließlich unserer Mobil-App und der Web-Cloud-Oberfläche – den Nutzerinnen und Nutzern klare Hinweise geben, wie sie ihre Geräte absichern können“, sagte ein Shelly-Sprecher gegenüber Euronews Next.
„Konfigurationsentscheidungen außerhalb dieser empfohlenen Abläufe, etwa wenn der Zugangspunkt ungesichert bleibt, liegen letztlich in der Verantwortung der Nutzer und entziehen sich einer direkten Steuerung durch unsere Plattform.
Wie bei jedem vernetzten Gerät können sie ihre Hardware nach ihren eigenen Bedürfnissen einrichten. Wir empfehlen ihnen ausdrücklich, die während der Einrichtung gegebenen Sicherheitshinweise zu befolgen“, so der Sprecher weiter.
Shelly hob außerdem hervor, dass eine kommende Firmware-Version eine Verbesserung bringen solle: Der Zugangspunkt werde dann nach einem festgelegten Zeitraum automatisch deaktiviert, außer er werde ausdrücklich für Konfiguration oder Einrichtung benötigt.
Immer mehr Sicherheitslücken bei vernetzten Geräten
In den vergangenen Jahren gerieten immer mehr Smart-Home- und andere vernetzte Geräte wegen gravierender Schwachstellen in die Kritik. Betroffen waren unter anderem Ring-Türklingeln von Amazon und Überwachungskameras des Herstellers Dahua.
„Unser Spezialgebiet sind vernetzte Geräte, und wir testen die unterschiedlichsten Smart-Home-Systeme“, sagte Munro.
„Wir haben ähnliche Probleme bei Solarwechselrichtern gesehen und schon vor mehr als zehn Jahren eine vergleichbare Schwachstelle in einem Auto gefunden.“
Ein weiteres zentrales Problem ist Datenabfluss, vor allem bei Nutzungs- und Verhaltensdaten, die Smart-Home-Geräte erfassen.
„Manchmal stoßen wir auf Nutzungs- und Verhaltensdaten von Menschen, die versehentlich öffentlich einsehbar sind. Hersteller vernetzter Geräte sammeln solche Daten, um ihre Produkte zu verbessern, und vergessen oft, wie aussagekräftig einzelne Datensätze sein können“, so Munro.