Eine Sicherheitslücke mit dem Namen CallStranger nutzt das verbreitete Universal-Plug-and-Play-Protokoll, um sich Zugriff auf Netzwerke zu verschaffen. Angreifbar sind neben klassischen PCs vor allem Geräte, die Sie möglicherweise als weniger gefährdet erachten. Besonders betroffen sind nämlich Elemente aus dem sogenannten Internet-of-Things (IoT). Dies sind beispielsweise “smarte” Fernseher, IP-Kameras und alle sonstigen vernetzten Elemente der digitalen Haussteuerung. Der Sicherheitsexperte Yunus Cadirci entdeckte die Sicherheitslücke und publizierte sie erst kürzlich.
Universal-Plug-and-Play als Einfallstor für CallStranger
Die Besonderheit von Haushalts- und Unterhaltungselektronik im Smart Home basiert auf deren Vernetzung. Geräte kommunizieren untereinander und lassen sich zentral steuern. Dies bedingt, dass sie sich untereinander “finden” und sie aus dem Internet erreichbar sind. CallStranger macht sich diese Umstände zunutze.
Für eine einfache Vernetzung verwenden nahezu alle smarten Geräte das Protokoll Universal-Plug-and-Play (UPnP). Damit funktioniert die Integration der einzelnen Komponenten in das Netzwerk. Zudem garantiert erst die ständige Internetanbindung manche Funktionen. Um Ihre häusliche Heizung von der Arbeitsstelle aus zu aktivieren, muss Ihre Haussteuerung auf Anfragen von aussen antworten.
Deswegen ist jedes Endgerät im Netzwerk theoretisch angreifbar. Erleichtert wird dies dadurch, dass für viele Geräte aus dem Billigsektor kaum Sicherheitsupdates vorhanden sind.
Die Schwachstelle im UPnP
In früheren Zeiten gab es für die Installation neuer Hardware zunächst Treiber. Dieser meldet dem Betriebssystem die Spezifika der Komponente und beschreibt die Schnittstellen. Microsoft änderte dies mit der Einführung von Plug-and-Play. Die Erkennung von Endgeräten funktioniert damit ohne weiteres durchs simple Einstecken.
Dieses Prinzip gilt nun für das Netzwerk. In Netzwerken, die nach dem Internet Protocol (IP) funktionieren, melden sich Geräte über eine sogenannte Multicast-Adresse an. Danach ist jedes weitere Netzwerkgerät offen für die Kommunikation. Mit Abonnieren von entsprechenden Ereignismeldungen ist der Status des jeweiligen Geräts bekannt.
In dieser Subscribe-Funktion liegt das Risiko: Es wird dort eine Antwortadresse eingetragen, an die der Status mitgeteilt wird. Das kann eine beliebige Adresse aus dem Internet sein.
Risiken durch CallStranger
Neben Fehlfunktionen im eigenen IoT-Netz ist das grösste Risiko an CallStranger, dass betroffene Geräte für Distributed-Denial-of-Service-Angriffe (DDoS) verwendet werden. Hierbei werden Server mit einer Vielzahl von Anfragen gezielt überlastet und lahmgelegt. Weiterhin können Details zu anderen Geräten aus Ihrem Netzwerk abfliessen. Dies erhöht beispielsweise das Risiko gezielter Angriffe.
Çadirci meldete die Sicherheitslücke bereits Ende 2019 an die Entwickler von Universal-Plug-and-Play. Der Fehler gilt zwischenzeitlich als behoben. Viele Hersteller, etwa Microsoft für ihr Betriebssystem Windows, veröffentlichten entsprechende Sicherheitsupdates. Achten Sie darauf, Betriebssysteme und Firmware Ihrer Netzwerkgeräte aktuell zu halten. Bietet der Hersteller Ihres Gerätes keine Updates, überprüfen Sie eventuell die Möglichkeit zur Deaktivierung von UPnP.
Fortschritt kann auch Risiken bergen
Natürlich ist es nicht nötig, aus Angst vor einem Angriff die Leitung zum Internet komplett zu kappen und neuer Technik grundsätzlich zu misstrauen. Es zeigt sich aber immer wieder, dass bei der Entwicklung von komplexen Technologien auch Fehler entstehen oder Angriffsmöglichkeiten übersehen werden.
Daher ist es wichtig, sich nicht nur über Neuigkeiten auf dem Markt zu informieren, sondern auch über Entwicklungen im Sicherheitsbereich. Denn oft lassen sich Risiken bereits durch einfache Massnahmen minimieren.