HP entdeckt Sicherheitslücken im Internet of Things

HP testete für den IOT-Bericht unterschiedliche Geräte aus 8 Kategorien: vom Thermostat über fernsteuerbare Steckdosen bis hin zu Garagenöffnern. HP gibt im Bericht jedoch keine genauen Produktnamen oder die Anzahl der Produkttypen innerhalb des Tests an. Gesucht wurde nach den vom OWASP definierten Sicherheitslücken mithilfe des hauseigenen Tools "Fortinet on Demand".

Im Allgemeinen beanstanden die Tester mangelnde Privatsphäre sowie fehlende Login-Sicherheit. Unsichere Webinterfaces und Software-Updates werden ebenso kritisiert wie fehlende Übertragungs-Verschlüsselung.

Dabei ergab die Untersuchung im Detail, dass neun von 10 untersuchten Geräten mindestens eine Anwenderinformation sammeln und speichern. Acht davon, greifen sogar Nutzernamen, E-Mail- und Postadressen, Kreditkarten- sowie Geburts- und Gesundheitsdaten ab.

Auch mit den Passwörtern nahmen es acht Geräte nicht so genau. Selbst einfachste Zahlenpasswörter wurden akzeptiert. Lediglich zwei der getesteten Produkte verlangten nach komplexeren Sicherheitsabfragen.

Ähnlich verhält es sich mit der Verschlüsselung von privaten Daten, die lediglich drei Geräte bieten. Die anderen speichern persönliche Daten unverschlüsselt - gerne auch in die Cloud.

Die Web-Oberfläche sowie den Update-Service beanstandete HP bei sechs Herstellern. Webseiten seien leicht durch Cross-Site-Scripting zu beeinflussen und Software Updates mittels eines Linux-Mounts manipulierbar.

Laut HP schafft es das IoT alle Sicherheitslücken der bereits vorhandenen Bereiche wie Netzwerksicherheit, Anwendungssicherheit, Mobile-Sicherheit und Internetfähiger Geräte in einem einzigen, neuen und noch unsichereren Paket zu kombinieren. Das sei, so HP, sehr besorgniserregend.