Schwere Sicherheitslücken beim smarten Beleuchtungssystem Osram Lightify entdeckt

artikel_osram_lightifyDas beliebte smarte Beleuchtungssystem „Osram Lightify“ verfügt über ein paar sehr schwere Sicherheitslücken, die Angreifer dazu nutzen könnten, sich in das interne Netzwerk eines Haushalts einzuschleusen und dadurch zur Gefahr für den Besitzer werden könnten. Denn einmal im Netz, könne der Angreifende via persistentem Java-Script und webbasiertem HTML-Code zum richtigen Schädling für das heimische Netzwerk werden. Deral Heiland von der Sicherheitsfirma Rapid7 berichtet von den gefundenen Lücken und den daraus resultierenden Risiken für den Endverbraucher. So könne der Hacker genauso direkten Zugriff auf eines der in das smarte System integrierten Produkte bekommen.

Nicht unbedingt das, was man sich von seinem vernetzen Heim wünscht. Eine Stellungnahme seitens Osram stünde im Moment noch aus, heißt es. So kann derzeit auch noch keine gewisse Aussage getroffen werden, ob das Unternehmen wirklich alle aufgezeigten Lücken zu beseitigen gedenkt oder vermag. Leider ist diese Meldung im Bereich des Smart Home kein Einzelfall und wird vermutlich auch nicht die letzte bleiben. Fakt ist: Wer sein Heim komplett vernetzt, der will vollkommen sicher sein, dass niemand sonst auf dieses System von außen Zugriff hat. Ob das wirklich machbar ist? So ist allein die Tatsache, dass viele der Basisstationen solcher Systeme über das Internet angesteuert werden und über die Server des Herstellers verwaltet werden, nicht unbedingt ein überzeugendes Argument für solche Produkte.

Update (28.07.16) Stellungnahme Osram:

OSRAM hat den Test auf Sicherheitslücken, den Mitarbeiter des Security-Spezialisten Rapid7 an Lightify-Produkten vorgenommen haben, unterstützt. Die Ergebnisse aus der Sicherheitsanalyse von Rapid7 wurden von Osram analysiert – das Unternehmen hat daraus eine Risiko-gewichtete Patch-Strategie entwickelt. Die wichtigsten Lücken werden bereits mit dem nächsten Versionsupdate, das für den August geplant ist, beseitigt.

Einige der von Rapid7 hervorgehobenen Sicherheitslücken haben ihren Ursprung im ZigBee-Protokoll, welches nicht von Osram stammt. Wir befinden uns in fortlaufender Abstimmung mit der ZigBee-Allianz bezüglich bekannter und auch neu entdeckter Sicherheitslücken des Protokolls und teilen die Ergebnisse entsprechend.

(via ZDNet)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

13 Kommentare

  1. das ist aber journalistisch nicht so genau recherchiert. Die Stellungnahme gibt es doch schon, und das Update wurde heute morgen bereits auch schon angekündigt…

  2. das ist aber journalistisch nicht so genau recherchiert. Eine Stellungnahme gibt es doch schon, und das Update wurde heute morgen bereits auch schon angekündigt…

  3. Es gibt eine Stellungnahme von Osram, die auch bei ZDNet im Update berücksichtigt wurde:

    OSRAM hat den Test auf Sicherheitslücken, den Mitarbeiter des Security-Spezialisten Rapid7 an Lightify-Produkten vorgenommen haben, unterstützt. Die Ergebnisse aus der Sicherheitsanalyse von Rapid7 wurden von Osram analysiert – das Unternehmen hat daraus eine Risiko-gewichtete Patch-Strategie entwickelt. Die wichtigsten Lücken werden bereits mit dem nächsten Versionsupdate, das für den August geplant ist, beseitigt.

    Einige der von Rapid7 hervorgehobenen Sicherheitslücken haben ihren Ursprung im ZigBee-Protokoll, welches nicht von Osram stammt. Wir befinden uns in fortlaufender Abstimmung mit der ZigBee-Allianz bezüglich bekannter und auch neu entdeckter Sicherheitslücken des Protokolls und teilen die Ergebnisse entsprechend.

    http://www.zdnet.com/article/serious-security-flaws-found-in-osram-smart-bulbs/

  4. Mal sehen wann die ersten Häuser abbrennen durch ferneingeschaltete Herdplatten und Kaffeemaschinen. Und das nur, weil einige Leute zu faul sind, zum Lichteinschalten aufzustehen und zum Schalter neben der Tür zu gehen.
    So ein Quatsch käme mir nie ins Haus – braucht kein Mensch.

  5. Wird aber nur wenige Lightify Nutzer betreffen, da wohl die meisten die günstigen Birnen an einer Hue Bridge betreiben.

    Einmal mehr zeigt sich leider, dass das Osram Gateway nicht praxistauglich ist (WLAN Schlüssel im Klartext ablegen und Anfälligkeit für XSS-Attacken sollte es 2016 eigentlich nicht mehr geben). Leider hat sich Osram entschlossen Lightify nicht mit dem Rest der Lampenabteilung zu verkaufen – das wäre eine gute Gelegenheit gewesen ein neues Management einzusetzen bei dem noch ein Enthusiasmus für das eigene Produkt zu erahnen ist.

  6. Guten Morgen Rudi

    Ja, die Lampen kannst du im HUE Netz betreiben
    Was aber nicht geht, ist ein Update der Lampen Software.
    Ich habe zwei Lampen im Gebrauch die sich wegen einer alte SW selbstständig einschalten
    Eine Update Möglichkeit via HUE habe ich noch nicht gefunden

  7. Danke für den Hinweis auf das Update. Zum Zeitpunkt des Verfassens dieses Beitrags standen diese Informationen nunmal leider noch nicht zur Verfügung. Update wird nun mit verbloggt

  8. @WOK

    das finde ich etwas pauschal gesagt. Es gibt durchaus Szenarien, wo es hilfreich sein kann.
    Ich habe mir z.B. im Garten (bei der Gartenanlage) diverse Erdkabel verlegt, aber noch nicht angeschlossen. Die Kabel enden alle in der Garage. Ich wollte für die Zukunft gerüstet sein und ohne den ganzen Garten wieder aufnehmen zu müssen auch in der Zukunft Verbraucher im Garten verteilen können.
    Wenn ich jetzt irgendwo Strom brauche, dann wird der entsprechende Strang angeklemmt und mit einem Funkaktor versehen, den ich von drinnen dann über meine Haussteuerung (Tablet an der Wand) steuern kann. Ich habe jetzt also nicht ein riesiges Schalterprogramm an der Wand für evtl. irgendwann mal, sondern kann das bequem nachrüsten, wie ich es brauche. Außerdem gibt es dann natürlich noch die Kompfortfunktionen wie Gruppenschaltungen/Zeitschaltungen usw.

    Klar, man braucht das nicht zum Leben, aber praktisch ist es schon 😉
    Wie mit dem Auto. Es geht auch ohne… nur hatte man mal eins, will man (klar, es gibt Ausnahmen) nicht mehr ohne.

    Ein anderes Beispiel:
    Ich habe im Keller ein Heimkino installiert. Mein kleiner Sohn schläft im OG. Gucke ich Filme, dann mache ich das im Kinolautstärke. Bisher war das kein Problem. Da hat das Babyphone ausgeschlagen, wenn er wach geworden ist. Seit er aber mobil ist, steht er auch schonmal auf und geht in den Flur (da kommen für ihn ja die Geräusche her) und steht dann da an der Treppe und keiner bekommt es mit wenn er da steht und evtl. Angst hat.

    Dafür habe ich jetzt einen Bewegungsmelder installiert. Läuft im Heimkino ein Film (erkennbar an der laufenden Harmony Activity) und oben im Flur wird seine Bewegung erkannt, dann geht der Film auf Pause und das Licht dimmt hoch. Damit ist uns sofort klar, dass er oben steht.
    Ich gebe zu, dass ist schon ein sehr spezielles Szenario, aber für mich persönlich super Hilfreich.

    Gelöst habe ich meine Heimsteuerung im Übrigen mit FHEM. Da läuft alles bei mir lokal und es gibt keinen Cloudanbieter. Außerdem kann ich alle Möglichen Protokolle und Dienste verwenden.

  9. Hallo Mezza, ja leider brauchen fast alle Osram Birnen ein Firmware-Update, danach laufen sie aber problemlos.
    Da man das Gateway häufig schon für ~25€ bekommt lohnt es sich schon bei relativ kleinen Installationen gegenüber Hue zudem gibt es einige Alleinstellungsmerkmale (E14, Gardenspots, kleine GU-10, schaltbare Steckdosen)

    Nur auf die Homekit-Anbindung muss man verzichten, was aber großer Verlust ist.

  10. Habe mir mal genauere Infos angeschaut ja unter bestimmten Bedingungen könnte man sich ins Private Netz kommen. Allerdings nur im Nahbereich. Und auch dann ist es nicht grade klickyklack und fertig.

  11. Interessant ist der Hinweis von Osram, dass einige Sicherheitslücken ihren Ursprung im Zigbee-Protokoll haben. Heisst das, dass die anderen Zigbee-basierten Systeme diese Sicherheitslücken auch haben?

  12. N´abend Rudi

    Gesagt, getan
    Habe mir das Gateway geholt ( ist heir aber ein bisschen teurer 😉 )
    Und tatsächlich, die Lampen brauchten alle ein Update in der Firmware
    Der Nachteil ist jetzt aber dass die Lampen von meiner HUE Bridge nicht mehr gefunden werden
    kompl. Reset der Bridge habe ich schon gemacht.

    Hast noch Ideen wie ich die Kiste wieder zum laufen bringen könnte ?

  13. ok, hab´s gefunden

    Die Lampe 5x für jeweils 5 Sekunden ein und ausschalten
    also
    5 sek ein
    5 sek aus
    5 sek ein
    usw usw

    Dann wird wohl die letzte Paarung gelöscht und die HUE Bridge findet die Osram Lampe wieder 🙂