Osram Lightify: Sicherheits-Update erscheint in Kürze
Wir haben gestern darüber berichtet, dass ein Team von Sicherheitsexperten diverse Schwachstellen im Smart-Lighting-System Osram Lightify ausgemacht hat. Eine Stellungnahme des Herstellers rückt die Dinge nun in ein etwas anderes Licht.
Osram hat demnach mit den Sicherheitsforschern zusammengearbeitet und nimmt ausgehend von den Testergebnissen direkt Produktverbesserungen vor. Zudem handelt es sich bei einem Teil der genannten Schwachstellen und Eigenheiten des auch von verschiedenen Mitbewerbern verwendeten ZigBee-Standards. Ein erstes fehlerbehebendes Update soll in Kürze erscheinen.
Hier die Stellungnahme im Wortlaut:
OSRAM hat den Test auf Sicherheitslücken, den Mitarbeiter des Security-Spezialisten Rapid7 an Lightify-Produkten vorgenommen haben, unterstützt. Die Ergebnisse aus der Sicherheitsanalyse von Rapid7 wurden von Osram analysiert – das Unternehmen hat daraus eine Risiko-gewichtete Patch-Strategie entwickelt. Die wichtigsten Lücken werden bereits mit dem nächsten Versionsupdate, das für den August geplant ist, beseitigt.
Einige der von Rapid7 hervorgehobenen Sicherheitslücken haben ihren Ursprung im ZigBee-Protokoll, welches nicht von Osram stammt. Wir befinden uns in fortlaufender Abstimmung mit der ZigBee-Allianz bezüglich der bekannten und auch neu entdeckten Sicherheitslücken des Protokolls und teilen die Ergebnisse entsprechend.
Seller Not Found
19.73MB
„Einige der von Rapid7 hervorgehobenen Sicherheitslücken haben ihren Ursprung im ZigBee-Protokoll, welches nicht von Osram stammt.“
Die gravierende und dilettantische Fehler, dass jemand von Außen ins Netzwerk kommt liegt aber bei Osram selber. Der Absatz in der Stellungnahme um mit dem Finger auf andere zu zeigen ist fast genauso lang wie der allgemeine nichtssagende dass ein Patch geplant ist.
Perfekte Außendarstellung! Kunden für dumm verkaufen, andere beschuldigen und einfach weitermachen.
Es ist die Frage welches „Netz“ gemeint ist das man von außen eindringen kann. Es kann sich auch um das ZigBee-Netz handeln und das ist sattsam bekannt und nicht nur bei Osram gegeben. Das ZigBee-Light-Protokoll verzichtet weitestgehend auf Sicherheit. Es ist kinderleicht sich in ein solches Netz einzuwählen, schlicht weil die Schlüssel öffentlich bekannt sind und sich anscheinend nicht ändern lassen. Da man damit aber nur Leuchtmittel steuert, hielt man eine Absicherung für Überflüssig. Wenn es aber Fehler geben sollte mit deren Hilfe man sich von ZigBee aus ins WLAN-Netz des Anwenders begeben kann, dann sähe die Sache anders aus. Das ist meines Wissens nach aber nicht gesichert, dass dies überhaupt der Fall ist. Die Osram-Bridge hat WLAN? Die von Philips ja nicht.
Soweit mir bekannt, kann man das WLAN-Kennwort aus der Bridge ohne weitere Sicherheitsvorkehrungen im Klartext auslesen, benötigt dafür allerdings bereits Zugang zum LAN, sodass das nicht soooo sehr kritisch ist.
„… bezüglich der bekannten und auch neu entdeckten Sicherheitslücken des Protokolls …“
Der Erfinder scheint ja ein echt helles Köpfchen gewesen zu sein. Es ist, plump ausgedrückt, ein Protokoll um Schalter auf an oder aus zu stellen – wie kann man darin so viele Sicherheitslücken verstecken?
ja es ist ja alles so einfach, wenn man nix selber machen muss…
Die gesamte IT-Branche hat ein grundsätzliches Problem. Fehlerfrei ab Werk geht nicht, ok… Aber wie soll der Konsument bitte künftig die ganze Hard-und Software im Haushalt auf einem betriebssicheren Stand halten? Zwangsläufig muss man doch als Otto-Normal-Verbraucher die Übersicht verlieren.
Irgendwann muss ich dann meiner Hausratversicherung erklären, wie der Einbrecher über meine „Glühbirne“ mein Haustürschloss geöffnet und die Alarmanlage ausgeschaltet sowie auch gleich mein Garagentor geöffnet und das Auto ohne Schlüssel mitgenommen sowie mein Bankkonto geplündert hat?
Schöne neue Welt.
Yep, das ist die Zukunft.
Und in den AGB steht, dass die Beweislast du hast, sichtbare Beschädigungen deinen Beweis stützen und alles Andere keinen Einbruch war sondern (versuchter) Versicherungsbetrug