vpnMentor findet Milliarden sensibler Logdaten

Orvibo-Sicherheitsleck gefährdet Smart Homes

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

VpnMentor will die Log-Datenbank zwar nicht komplett heruntergeladen haben, veröffentlichte jedoch Screenshots einzelner Datenschnippsel.
VpnMentor will die Log-Datenbank zwar nicht komplett heruntergeladen haben, veröffentlichte jedoch Screenshots einzelner Datenschnippsel. (Bild: vpnMentor)

Security-Forscher wollen eine ungesicherte Datenbank mit Logeinträgen für Produkte des Anbieters Orvibo gefunden haben. Angreifer hätten darüber Nutzer ausspionieren und mit smarten Schlössern gesicherte Türen öffnen können.

Die ORVIBO Technology Co., Ltd (Orvibo) ist ein chinesischer Ausrüster für Smart Homes. Dessen Produkte sind beispielsweise über Amazon auch in Deutschland verfügbar und waren bis vor kurzem anscheinend besonders leicht zu hacken. Das legt ein Bericht des VPN-Vergleichsportals vpnMentor nahe. Dessen von Noam Rotem und Ran Locar geführtes Sicherheitsteam hatte demnach eine frei zugängliche Datenbank ausfindig gemacht. Darin gespeichert: Über zwei Milliarden Logeinträge, darunter auch E-Mails, Familiennamen und genaue Positionsdaten der jeweiligen Geräte. Die Logs beinhalteten dabei Daten zu weltweit verteilten Systemen, für Europa verweist man konkret auf Einträge zu Frankreich und Vereinigtem Königreich.

Feindliche Kontoübernahme möglich

Neben den per MD5-gehashten (ohne Salt) Passwörtern fanden sich in der Datenbank zudem Reset-Codes, mit denen sich Zugangsdaten komplett zurücksetzen ließen. Angreifer hätten auf diesem Wege auch die ursprünglichen Kontaktdaten sowie Passwörter ändern und komplette Konten dauerhaft übernehmen können.

Vielfältiges Missbrauchspotenzial

Das Missbrauchspotential war vielfältig und nicht auf private Anwender beschränkt. Laut vpnMentor werden Orvibos Produkte auch in Hotels und Büros eingesetzt. Dort hätten Unbefugte einerseits verschiedenste Daten zu Nutzern sammeln und verknüpfen können. So fanden sich in dem Log etwa transkribierte Tonaufnahmen, die von einer smarten Kamera aufgezeichnet wurden. Die Daten eines Spiegels mit Anzeigefunktion ließen überdies Rückschlüsse auf den Kalender des jeweiligen Nutzers zu. Dank der Positionsdaten ließen sich die Geräte zudem verorten.

Damit nicht genug, hätten Angreifer übernommene Geräte auch steuern können. Über vernetzte Steckdosen ließen sich so der Stromverbrauch in die Höhe treiben oder angeschlossene Geräte durch Dauerbetrieb sowie unnötige Schaltvorgänge überlasten oder beschädigen. Zudem konnten Unbefugte womöglich vernetzte Türschlösser öffnen – die zugehörigen Wohnungen ließen sich über die Positionsdaten der Logs ausfindig machen. Auch die Übernahme von WLAN- und ZigBee-Controllern wäre denkbar gewesen.

Orvibo reagiert erst nach über zwei Wochen

Entdeckt wurde die Schwachstelle im Rahmen des Web-Mapping-Projektes, bei dem vpnMentor die Ports für bekannte IP-Blöcke auskundschaftet. Zuerst habe man Orvibo am 16. Juni von der Schwachstelle in Kenntnis gesetzt; nachdem der Anbieter weder antwortete noch den Datenbankserver vom Netz genommen hatte, schob man Anfang Juli noch eine Nachricht auf Twitter nach.

Und auf die reagierte Orvibo am 2. Juli schließlich mit einem Antworttweet. Dem zufolge habe man den Verschlüsselungsmechanismus für Passwörter sowie die Reset-Funktion überarbeitet. Künftig wolle man zudem enger mit Sicherheitsanbietern kooperieren.

VpnMentor bestätigte darauf, dass der fragliche Server mit den Logdaten nicht mehr online sei.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46007286 / Sicherheitslücken)