Nicht nur Router kämpfen mit Sicherheitsproblemen, wenn es um den Fernzugriff aus dem Internet geht, wie nun Sicherheitsexperten von IOActive melden. Insgesamt fünf Sicherheitslücken wurden im Heimautomatisierungssystem WeMo von Belkin entdeckt, die Angreifern die Kontrolle über angeschlossene Geräte ermöglichen. Möglich wird dies durch unzureichende Verschlüsselung außerhalb und innerhalb des Heimnetzes, fehlende Prüfungen der Belkin-Zertifikate bei Updates, Speicherüberlauf bei der Verarbeitung von XML-Daten sowie eine fehleranfällige Implementierung von NAT-Protokollen (STAN/TURN). Damit könnten Angreifer auf verschiedenen Weg in das Heimautomatisierungssystem eindringen und durch das beliebige Ein- oder Ausschalten von Geräten Schaden verursachen.

Belkin wurde laut dem CERT (Community Emergency Response Team) bereits im Oktober 2013 über die Sicherheitslücken informiert. Bislang ist aber kein Update erschienen, das die Lücken schließt. Gegenüber Medienvertretern wollte sich Belkin nicht zu dem Sicherheitsproblem äußern. Belkin bietet im Zusammenhang mit WeMo momentan Bewegungssensoren, Lichtschalter und Steckdosen an. Diese können nicht nur mobil ferngesteuert werden, sondern lassen sich auch mit Zeitprofilen automatisiert aktivieren und verknüpfen. Bislang ist nicht bekannt, ob die Sicherheitslücken aktiv ausgenutzt werden. Besorgte Nutzer sollten zur Sicherheit vorerst das WeMo-System auf unkritische Anwendungsfälle beschränken.

Aktualisierung:
Wie Belkin in einer Stellungnahme erklärt, hat man die Sicherheitslücken in mehreren Etappen mittlerweile geschlossen. Betroffen Nutzer sollten die aktuelle iOS-App (Store: ) installieren, um anschließend eine Firmware-Aktualisierung des WeMo-Systems durchzuführen. Eigenen Angaben zufolge hat Belkin bereits im November die XML-Lücke geschlossen sowie im Januar die unzureichende Verschlüsselung und Prüfung von Belkin-Zertifikaten behoben.

Weiterführende Links:

• IOActive
• CERT
• CNET
• WeMo im App Store
• Stellungnahme von Belkin