Smart Homes: Zuverlässige und sichere Umgebungen?
Smart Homes vernetzen sich zunehmend und umfassen eine Vielzahl von IoT-Geräten – von Smartphones und Smart-TVs bis hin zu Sprachassistenten und Überwachungskameras. Diese Geräte verfügen über Sensoren wie Kameras, Mikrofone und andere Mittel, um zu erfassen und zu überwachen, was in unseren privatesten Bereichen – unseren Wohnungen – geschieht. Doch die Frage ist: Können wir diesen Geräten vertrauen, dass sie die sensiblen Daten, auf die sie zugreifen, sicher verarbeiten und schützen?
„Wenn wir an das denken, was innerhalb unserer vier Wände passiert, stellen wir uns diese als einen privaten und vertrauenswürdigen Raum vor. In Wirklichkeit stellen wir jedoch fest, dass smarte Geräte diesen Schleier des Vertrauens und der Privatsphäre durchbrechen und es fast jedem Unternehmen ermöglichen, zu wissen, welche Geräte sich in Ihrem Haus befinden, wann Sie dort sind und wo sie sich befinden. Normalerweise werden die Verbraucher über dieses Verhalten nicht informiert, und es besteht Bedarf, die Sicherheit von Wohnhäusern zu verbessern“, sagt David Choffnes, außerordentlicher Professor für Informatik und Geschäftsführer des Instituts für Cybersicherheit und Datenschutz an der Northeastern University.
Die umfangreiche Studie des Forschungsteams mit dem Titel „Im Raum, wo es passiert: Charakterisierung lokaler Kommunikation und Bedrohungen in Smart Homes“ wurde diese Woche auf der ACM Internet Measurement Conference (ACM IMC’23) in Montreal, Kanada, vorgestellt. Die Studie untersucht erstmals die komplexen Interaktionen lokaler Netzwerke zwischen 93 IoT-Geräten und mobilen Anwendungen und deckt dabei eine beträchtliche Anzahl bisher unbekannter Sicherheits- und Datenschutzbedrohungen mit realen Auswirkungen auf.
Obwohl die meisten Nutzer lokale Netzwerke im Allgemeinen als zuverlässige und sichere Umgebung betrachten, verdeutlichen die Ergebnisse der Studie neue Gefahren, die mit der unbeabsichtigten Offenlegung sensibler Daten durch IoT-Geräte in lokalen Netzwerken aufgrund der unsachgemäßen Verwendung von Standardprotokollen wie UPnP oder mDNS verbunden sind. Zu diesen Daten gehören eindeutige Gerätenamen, UUIDs und sogar Geodaten des Wohnorts, die von der Schattenwirtschaft und dem digitalen Marketing ohne Wissen des Nutzers erfasst werden können.
Laut Vijay Prakash, Doktorand an der NYU Tandon School of Business und Mitautor des Artikels, ergab die Analyse von Daten, die mit dem Tool IoTInspector erfasst wurden, Hinweise darauf, dass IoT-Geräte in Tausenden von Smart Homes unbeabsichtigt mindestens eine personenbezogene Information preisgeben, beispielsweise eindeutige Hardware-Adressen (MAC-Adressen), UUIDs oder eindeutige Gerätenamen. Jede Kennung und Metadaten sind hilfreich, um ein Haus zu identifizieren, doch die Kombination aller drei macht ein Haus einzigartig und weltweit leicht identifizierbar. Zum Vergleich: Wird ein Webnutzer mithilfe der einfachsten Fingerprinting-Methode profiliert, ist er so einzigartig wie einer von 1.500 Menschen. Wird ein Smart Home hingegen anhand von nur drei IoT-Gerätedaten profiliert, ist es so einzigartig wie eines von 1,12 Millionen Smart Homes.
Diese lokalen Netzwerkprotokolle können als Seitenkanäle genutzt werden, um auf Daten zuzugreifen, die eigentlich durch verschiedene Android-Berechtigungen geschützt sein sollten, wie beispielsweise den Standort des Hauses. „Ein Seitenkanal ist eine Art heimlicher Weg, um indirekt auf sensible Daten zuzugreifen. Android-App-Entwickler sind beispielsweise verpflichtet, Systemberechtigungen anzufordern, um die Zustimmung der Nutzer zum Zugriff auf Daten wie den Standort einzuholen. Wir haben jedoch gezeigt, dass bestimmte Spyware-Apps und Werbeunternehmen lokale Netzwerkprotokolle missbrauchen, um unbemerkt auf diese sensiblen Informationen zuzugreifen. Sie müssen lediglich andere im lokalen Netzwerk eingesetzte IoT-Geräte über Standard-Netzwerkprotokolle wie UPnP höflich um Erlaubnis bitten“,erklärt Narseo Vallina-Rodríguez, außerordentlicher Professor an der IMDEA Networks und Mitbegründer von AppCensus.
„Unsere Studie belegt, dass die von IoT-Geräten verwendeten lokalen Netzwerkprotokolle nicht ausreichend geschützt sind und sensible Informationen über unsere Wohnungen und die Nutzung dieser Geräte preisgeben. Diese Informationen werden intransparent gesammelt und ermöglichen die Erstellung von Profilen unserer Gewohnheiten und unseres sozioökonomischen Status“, ergänzt Juan Tapiador, Professor an der UC3M. Weiterreichende Implikationen:
Die Auswirkungen dieser Forschung reichen weit über die Wissenschaft hinaus. Die Ergebnisse unterstreichen die dringende Notwendigkeit für Hersteller, Softwareentwickler, Betreiber von IoT- und Mobilplattformen sowie Regulierungsbehörden, Maßnahmen zur Verbesserung des Datenschutzes und der Sicherheitsvorkehrungen von Smart-Home-Geräten und -Systemen zu ergreifen. Das Forschungsteam hat diese Probleme verantwortungsvoll an die Anbieter anfälliger IoT-Geräte und an das Android-Sicherheitsteam von Google kommuniziert, was bereits zu Sicherheitsverbesserungen bei einigen dieser Produkte geführt hat.
