Avast, Hersteller von digitalen Sicherheitsprodukten, hat entdeckt, dass über 49.000 MQTT-Server (Message Queuing Telemetry Transport) aufgrund eines falsch konfigurierten MQTT-Protokolls online öffentlich sichtbar sind. Darunter befinden sich 32.000 Server ohne Passwortschutz – davon 1.719 in Deutschland – wodurch die Gefahr eines Datenmissbrauchs steigt. MQTT-Protokolle werden genutzt, um Smart-Home-Geräte über Smart Hubs miteinander zu verbinden und zu steuern. Beim Implementieren des MQTT-Protokolls richten Nutzer einen Server ein. Dieser Server befindet sich bei Endverbrauchern üblicherweise auf einem PC oder einem Mini-Computer wie dem Raspberry Pi, mit dem sich Geräte verbinden und damit kommunizieren können.
Während das MQTT-Protokoll selbst sicher ist, können gravierende Sicherheitsprobleme entstehen, wenn MQTT falsch eingerichtet oder konfiguriert wird. Hacker und Cyberkriminelle können sich Zugang zum Heimnetzwerk verschaffen und beispielsweise herausfinden, wann die Bewohner zuhause sind. Sie können auch Entertainment-Systeme, digitale Sprachassistenten sowie Haushaltsgeräte manipulieren und in Erfahrung bringen, ob vernetzte Türen und Fenster offen oder geschlossen sind. Unter bestimmten Voraussetzungen haben Cyberkriminelle sogar die Möglichkeit, Positionsdaten von Nutzern zu ermitteln und zu tracken. Dies ist eine ernsthafte Bedrohung für deren Privatsphäre und Sicherheit.
„Es ist beängstigend einfach, Zugang und Kontrolle über ein fremdes Smart Home zu erlangen. Schließlich gibt es immer noch viele unzureichend gesicherte Protokolle aus Zeiten, in denen das Thema digitale Sicherheit noch nicht besonders relevant war,“ erklärt Martin Hron, Sicherheitsforscher bei Avast. „Die Verbraucher müssen sich der Sicherheitsrisiken bewusst sein, wenn sie digitale Geräte mit dem Internet verbinden, deren Einstellungen sie nicht vollständig verstehen – und sicherstellen, diese Geräte auch richtig zu konfigurieren.“
Martin Hron zeigt fünf Wege auf, wie schlecht konfigurierte MQTT-Server von Hackern missbraucht werden können:
- Offene und ungeschützte MQTT-Server sind mit der IoT-Suchmaschine »Shodan« einfach zu finden. Sobald diese sich mit den Servern verbinden, können Hacker über das MQTT-Protokoll übermittelte Nachrichten mitlesen. Die Ergebnisse von Avast zeigen, dass sich Hacker beispielsweise Zugriff auf den Status von smarten Fenstern und Türen verschaffen – oder sehen können, ob Lichter ein- oder ausgeschaltet sind. In diesem speziellen Fall hat Avast auch festgestellt, dass Unbefugte vernetzte Geräte kontrollieren oder zumindest über das MQTT-Protokoll gesendete Daten in ihrem Sinne verändern konnten. Auf diese Weise könnte ein Angreifer beispielsweise Nachrichten an den Hub senden, um das Garagentor zu öffnen.
- Weiters wurde festgestellt, dass Smart Homes selbst bei einem geschützten MQTT-Server gehackt werden können, wenn das Dashboard zur Steuerung des Control Panels eines Smart Home die gleiche IP-Adresse verwendet wie der MQTT-Server. Nutzer ändern selten die Standardkonfigurationen ihrer Smart-Home-Hub-Software – allerdings sind diese oft nicht passwortgeschützt. Hacker haben damit vollständigen Zugriff auf das Dashboard eines Smart Homes und können so jedes über das Dashboard angeschlossene Gerät fernsteuern.
- Avast fand außerdem heraus, dass selbst bei geschütztem MQTT-Server und Dashboard im Falle von Smart-Hub-Software, Home-Assistant-Software, offene und unsichere SMB-Freigaben öffentlich und somit für Hacker zugänglich sind. SMB ist ein Protokoll zum Austausch von Dateien über interne Netzwerke und wird hauptsächlich auf Windows-Plattformen angewendet. Avast fand öffentlich freigegebene Verzeichnisse mit allen Home-Assistant-Daten einschließlich Konfigurationsdateien. In den betroffenen Dateien hat Avast ein Dokument gefunden, in dem Passwörter und Zugangsdaten im Klartext gespeichert waren. Mit den in der Konfigurationsdatei gespeicherten Passwörtern könnten Hacker so die vollständige Kontrolle über das Zuhause einer Person erlangen.
- Eigentümer eines Smart Homes können mittels Tools und Apps ein MQTT-basiertes Dashboard für ihr Smart Home erstellen, um damit ihre vernetzten Endgeräte zu steuern. Mit der Anwendung »MQTT Dash« können Nutzer ihr eigenes Dashboard und einen Control Panel erstellen und damit vernetzte Geräte mittels MQTT steuern. Nutzer können die über das Dashboard vorgenommenen Einstellungen auf dem MQTT-Server veröffentlichen, um sie auf beliebig vielen Geräten zu replizieren. Wenn der verwendete MQTT-Server unsicher ist, kann ein Hacker leicht auf das Dashboard des Nutzers zugreifen und so das Smart Home hacken.
- Avast hat darüber hinaus herausgefunden, dass Hacker mit MQTT in bestimmten Fällen den Standort der Anwender nachverfolgen können, da sich MQTT-Server in der Regel auf Echtzeitdaten konzentrieren. Viele MQTT-Server sind mit einer mobilen Anwendung namens »OwnTracks« verbunden. Mit OwnTracks können Nutzer ihren Standort mit anderen teilen. Die Anwendung kann aber auch von Smart-Home-Besitzern genutzt werden, damit die Smart-Home-Geräte wissen, wenn sich der Nutzer dem Haus nähert. Damit ist es z. B. möglich, vernetzte Geräte wie smarte Leuchtmittel zu aktivieren. Um die Tracking-Funktion zu nutzen, müssen die Nutzer die Anwendung zunächst konfigurieren. Dazu müssen sie eine Verbindung zu einem MQTT-Server herstellen und diesen mit dem Internet verbinden. Für diese Verbindung müssen die Nutzer keine Anmeldeinformationen eingeben, d. h. jeder kann sich mit dem MQTT-Server verbinden. Hacker können dadurch Informationen nachverfolgen, die den Batteriestand eines Geräts, den Standort unter Verwendung von Breiten-, Längen- und Höhenpunkten sowie den Zeitstempel für die Position enthalten.
Weitere Informationen: Avast-Blog