HP veröffentlicht Sicherheitsbericht über IoT
HP entdeckt Sicherheitslücken im Internet of Things
HP hat zehn verschiedene Geräte aus dem Bereich des Internet of Things (IOT, Internet der Dinge) auf Sicherheitslücken getestet und dabei 250 Sicherheitsmängel gefunden.
HP testete für den IOT-Bericht unterschiedliche Geräte aus 8 Kategorien: vom Thermostat über fernsteuerbare Steckdosen bis hin zu Garagenöffnern. HP gibt im Bericht jedoch keine genauen Produktnamen oder die Anzahl der Produkttypen innerhalb des Tests an. Gesucht wurde nach den vom OWASP definierten Sicherheitslücken mithilfe des hauseigenen Tools "Fortinet on Demand".
Im Allgemeinen beanstanden die Tester mangelnde Privatsphäre sowie fehlende Login-Sicherheit. Unsichere Webinterfaces und Software-Updates werden ebenso kritisiert wie fehlende Übertragungs-Verschlüsselung.
Dabei ergab die Untersuchung im Detail, dass neun von 10 untersuchten Geräten mindestens eine Anwenderinformation sammeln und speichern. Acht davon, greifen sogar Nutzernamen, E-Mail- und Postadressen, Kreditkarten- sowie Geburts- und Gesundheitsdaten ab.
Auch mit den Passwörtern nahmen es acht Geräte nicht so genau. Selbst einfachste Zahlenpasswörter wurden akzeptiert. Lediglich zwei der getesteten Produkte verlangten nach komplexeren Sicherheitsabfragen.
Ähnlich verhält es sich mit der Verschlüsselung von privaten Daten, die lediglich drei Geräte bieten. Die anderen speichern persönliche Daten unverschlüsselt - gerne auch in die Cloud.
Die Web-Oberfläche sowie den Update-Service beanstandete HP bei sechs Herstellern. Webseiten seien leicht durch Cross-Site-Scripting zu beeinflussen und Software Updates mittels eines Linux-Mounts manipulierbar.
Laut HP schafft es das IoT alle Sicherheitslücken der bereits vorhandenen Bereiche wie Netzwerksicherheit, Anwendungssicherheit, Mobile-Sicherheit und Internetfähiger Geräte in einem einzigen, neuen und noch unsichereren Paket zu kombinieren. Das sei, so HP, sehr besorgniserregend.
