Eine Sicherheitslücke namens CallStranger nutzt das verbreitete Universal-Plug-and-Play-Protokoll, um sich Zugriff auf Netzwerke zu verschaffen. Angreifbar sind neben klassischen PCs vor allem Geräte, die du möglicherweise als weniger gefährdet einschätzt. Besonders betroffen sind Elemente aus dem sogenannten Internet of Things (IoT) — also «smarte» Fernseher, IP-Kameras und alle vernetzten Elemente der digitalen Haussteuerung. Der Sicherheitsexperte Yunus Çadirci entdeckte die Lücke und veröffentlichte sie Anfang 2020.
Universal-Plug-and-Play als Einfallstor für CallStranger
Smart-Home-Geräte funktionieren nur, weil sie vernetzt sind. Sie kommunizieren untereinander, lassen sich zentral steuern — und müssen dafür erreichbar sein, von innen wie von aussen. Genau diese Erreichbarkeit nutzt CallStranger aus.
Nahezu alle smarten Geräte setzen auf das Protokoll Universal-Plug-and-Play (UPnP), das die Integration ins Netzwerk regelt. Dazu kommt: Viele Funktionen setzen eine ständige Internetanbindung voraus. Wer die Heizung von unterwegs einschaltet, dessen Haussteuerung muss auf Anfragen von aussen antworten.
Damit ist jedes Endgerät im Netzwerk theoretisch angreifbar. Bei Geräten aus dem Billigsegment fehlen Sicherheitsupdates oft komplett — was das Risiko weiter erhöht.
Die Schwachstelle im UPnP
Früher brauchte neue Hardware einen Treiber, der dem Betriebssystem die Spezifika der Komponente und ihre Schnittstellen beschrieb. Microsoft änderte das mit Plug-and-Play: Seitdem reicht das simple Einstecken.
Dieses Prinzip gilt nun fürs Netzwerk. In IP-basierten Netzwerken melden sich Geräte über eine sogenannte Multicast-Adresse an — danach steht die Kommunikation mit allen anderen Netzwerkgeräten offen. Wer entsprechende Ereignismeldungen abonniert, kennt den Status des jeweiligen Geräts.
In dieser Subscribe-Funktion steckt das Problem: Als Antwortadresse, an die Statusmeldungen gehen, lässt sich eine beliebige Adresse aus dem Internet eintragen.
Risiken durch CallStranger
Das grösste Risiko ist nicht die Fehlfunktion im eigenen IoT-Netz — es ist, dass betroffene Geräte für Distributed-Denial-of-Service-Angriffe (DDoS) missbraucht werden. Dabei werden Server mit massenhaften Anfragen überlastet und lahmgelegt. Ausserdem können Details zu anderen Geräten in deinem Netzwerk abfliessen, was gezielte Folgeangriffe erleichtert.
Çadirci meldete die Lücke Ende 2019 an die UPnP-Entwickler. Der Fehler gilt inzwischen als behoben. Verschiedene Hersteller — darunter Microsoft für Windows — haben Sicherheitsupdates veröffentlicht. Halte Betriebssysteme und Firmware deiner Netzwerkgeräte aktuell. Bietet der Hersteller deines Geräts keine Updates an, prüfe, ob du UPnP deaktivieren kannst.
Fortschritt kann auch Risiken bergen
Es braucht keine Internet-Paranoia. Aber komplexe Technologien bringen Fehler mit — und manche Angriffsflächen werden erst im Nachhinein sichtbar.
Deshalb lohnt es sich, nicht nur Neuigkeiten auf dem Markt zu verfolgen, sondern auch Entwicklungen im Sicherheitsbereich. Denn oft lassen sich Risiken bereits mit einfachen Massnahmen deutlich reduzieren.