Avast hat herausgefunden, dass es mehr als 22.000 Webcams und Babyphones in der Stadt gibt, die anfällig für Attacken sind. Das bedeutet, dass Cyberkriminelle Videos live ins Internet stellen könnten. In Barcelona gibt es rund 493.000 IoT-Geräte und in Spanien insgesamt 5,3 Millionen Geräte, die mit dem Internet verbunden und anfällig für Attacken sind – wie intelligente Wasserkocher, Kaffeemaschinen, Garagentüren, Kühlschränke, Thermostate und andere über IP verbundene Geräte.
Da Webcams und andere Geräte meist schlecht geschützt werden, gibt es große Bedenken, die die Sicherheit und Privatsphäre der Nutzer und die gesetzliche Lage betreffen. Hacker könnten sich über öffentliche und private Räume leicht Zugang zu den Geräten der Besucher des Mobile World Congress verschaffen. So wäre es ihnen möglich, Videos live ins Internet zu übertragen oder Geräte in Bots zu verwandeln. Durch die Anfälligkeit von Hunderten oder gar Tausenden von Geräten, können Cyberkriminelle ein Botnet erschaffen und damit Server und Websites vom Netz nehmen. Ist ein Gerät infiziert, kann es auch andere Geräte infizieren, sie einem Botnet hinzufügen oder Kontrolle über sie gewinnen, um deren Besitzer zu schaden. Davon sind beispielsweise auch smarte Küchen- und andere Haushaltsgeräte betroffen, die Cyberkriminelle dann fernsteuern und beispielsweise Wasser in einem Wasserkocher erhitzen können.
Zusätzlich sammeln und speichern die Hersteller von IoT-Geräten die persönlichen Daten ihrer Nutzer, inklusive Informationen zu Verhalten, Kontakt- und Kreditkartendaten. Wenn Cyberkriminelle solche Daten abfangen, stellt das ein weiteres Risiko dar. Dabei ist dieses Problem keineswegs auf Barcelona, Spanien oder gar auf Webcams beschränkt. Aktuell ist es jedoch eine besondere Herausforderung für die Stadt, da Barcelona in dieser Woche Gastgeber des Mobile World Congress 2017 ist und somit tausende Führungskräfte aus der Technologie-Branche in der Stadt zu Gast sind.
In seinem Experiment hat Avast Folgendes herausgefunden:
• Es gibt mehr als 5,3 Millionen anfällige IoT-Geräte in Spanien, und davon mehr als 493.000 in Barcelona
• Mehr als 150.000 leicht zu hackende Webcams sind in Spanien aktiv und davon mehr als 22.000 in Barcelona
• Es gibt es mehr als 79.000 intelligente Wasserkocher und Kaffeemaschinen in Spanien
• Mehr als 444.000 Geräte in Spanien nutzen das Telnet-Netzwerk-Protokoll. Das ist ein Protokoll, das bereits missbraucht wurde, um das Botnet Mirai zu erschaffen, welches den Internet-Dienstleister Dyn im Jahr 2016 attackierte. Dies führte zum Absturz von Internetseiten wie Twitter, Amazon, Reddit etc.
Das IoT-Experiment von Avast wurde in Zusammenarbeit mit dem Suchmaschinenspezialisten Shodan.io durchgeführt – und es zeigt, wie leicht es für jeden, inklusive Cyberkriminelle, ist, IP-Adressen und Ports über das Internet zu scannen und herauszufinden, welches Gerät über welche IP-Adresse erreichbar ist. Mit ein paar zusätzlichen Bemühungen und weiterem Know-how können Hacker auch den Geräte-Typ (Webcam, Drucker, Wasserkocher, Kühlschrank, usw.), die Marke, das Modell und die darauf installierte Software-Version herausfinden. „Da es ganze Datenbanken gibt, die allgemein bekannte Geräteschwachstellen auflisten, müssen Cyberkriminelle keine großen Anstrengungen unternehmen und über kein besonderes Wissen verfügen. Sie zählen einfach Eins und Eins zusammen, um herauszufinden, welche Geräte anfällig sind“, gibt Vince Steckler, CEO von Avast zu Bedenken. „Selbst, wenn die Geräte passwortgeschützt sind, bekommen Hacker oft Zugang, indem sie die gängigsten Nutzernamen und Passwörter ausprobieren, bis sie diese knacken.“
Das neueste Experiment von Avast zeigt deutlich, dass es ein ernstes und wachsendes Problem gibt, das mit der zunehmenden Zahl von IoT-Geräten weiter wächst, wenn es nicht angegangen wird.
Vince Steckler von Avast stellt klar: „Wenn Webcams beispielsweise auf Live-Aufnahmen eingestellt sind, können sich beliebige Personen und auch Hacker damit verbinden. So ist es für Cyberkriminelle ein Leichtes, Besucher des Mobile World Congress oder auch sich in der Nähe befindende Schüler, Angestellte und Bürger auszuspionieren. Dies alleingenommen ist bereits ein Privatsphären-Minenfeld. Viel wahrscheinlicher ist jedoch, dass Cyberkriminelle eine unsichere Webcam, Kaffeemaschine oder einen Smart TV kapern und diese in ein Bot verwandeln. Als Teil eines größeren Botnets könnte das Gerät anschließend für koordinierte Attacken auf Server dienen, um populäre Websites vom Netz zu nehmen. In Zukunft könnten wir also Fälle sehen, in denen Cyberkriminelle persönliche Daten inklusive Kreditkarteninformationen von ahnungslosen IoT-Nutzern erbeuten.“
Um sich der Schwachstellen bewusst zu werden und alle mit dem Internet verbundenen Geräte gegen unerwünschte Attacken zu schützen, sollten Nutzer ihren Beitrag zu einer sicheren Online-Welt leisten. Dies können sie tun, indem sie ihre Software regelmäßig aktualisieren und starke, komplexe Passwörter verwenden. Außerdem wird Avast bald ein neues Feature in seiner Android-App Avast Wi-Fi Finder auf den Markt bringen. Der Avast Wi-Fi Finder hilft Nutzern dabei, sichere Highspeed-WLAN-Verbindungen zu finden, wenn diese unterwegs sind. In der neuen Version scannt die App automatisch WLAN-Netzwerke auf anfällige Geräte und unterstützt Nutzer dieser Geräte mit Schritt-für-Schritt-Anleitungen bei der Behebung der Sicherheitsprobleme.
Der Wi-Fi Finder von Avast ist bei Google Play unter https://play.google.com/store/apps/details?id=com.avast.android.wfinder erhältlich. Im Rahmen einer Aktualisierung wird die App im Sommer mit dem neuen Scanner-Feature ausgestattet.
Auf dem Mobile World Congress 2017 in Barcelona wird der Avast CEO Vince Steckler über IoT-Risiken sprechen und in einer Live-Demo zeigen, wie IoT-Geräte infiziert und Teil eines Botnets werden können. Seine Präsentation findet am Mittwoch, den 1. März ab 14:15 Uhr in der Fira Gran Via Conference Facility, in Halle 4, im Auditorium 2 statt.