News Philips Hue und Zigbee: Sicherheitslücke gab Zugriff auf Leuch­ten und Netzwerk

[Eggcake]

Und mit deinem Handy musst du ständig wlan wechseln wenn du einen Film streamen willst und danach das Licht ausmachen möchtest?
Ist halt leider sehr unpraktisch

Nein, die ganzen IoT Dinger haben ja normalerweise eine App welche auch ausserhalb des Netzwerks erreichbar ist - das ist halt oft der 'Punkt' an der Ganzen Sache (z.B. Überwachung/Kameras, Staubsauger, etc.). Das heisst aber nicht, dass sie Zugriff auf das normale LAN benötigen - die können abgetrennt in ihrem eigenen LAN oder isoliert herumfunken.

 

[Benji18]

@Krautmaster
zeigt eigentlich nur das du keine Ahnung hast, schonmal mit wireshark mitgesniffert was der Bot so macht? nein schonmal geschaut wann wie und wieoft der Bot mit der Cloud kommuniziert? Nein?

Jedes Gerät das mit dem Internet Kommuniziert ist abgreifbar ja auch dein Handy od. noch nie mitbekommen wieviel schafcode dafür entwickelt wird? ;-)

zum Thema app im Hintergrund und so, denkst du ich bin blöd und weiß das nicht? Wenn du sagst den Bot beim Saugen zuschauen ist im allgemeinen die App im Vordergrund und läuft damit kann man besagte infos abgreifen.

Der einzige Grund warum man das ding ins Gueste Lan hängt ist das man sein WLAN Passwort nicht preisgeben will und wenn man schon mit „DMZ“ herumhantiert wäre wie gesagt die Dustcloud eine empfehlung da kann man dann alles kontrollieren was der Bot so spricht und ggf. auch kontrollieren wann ein Bot sein FW update bekommt und damit isr er nicht mehr „unkontrolliert“ wie du es nennst.

und damit wollte ich eigentlich nur andeuten das nichts „sicher“ ist und ohne wirkliche FW zwischen dir und dem Internet wird es mittlerweile schon ziemlich haarig.

traurig ist nur das dir anstatt sachlicher Diskussion wieder mal nur abdriften auf die persönliche ebene einfällt.

 

[Krautmaster]

Wünsche einen weiteren schönen Abend.

ebenso. Aber stelle dir einfach mal folgendes vor. Anstelle beim neubau überlegen zu müssen wie du deine Lampen schaltest, wo sie sitzen, wo der Schalter hinkommt, wie das bei Kippschaltungen zb im Flur usw funzt... legst du künftig einfach überall nur noch strom hin. Du platzierst die Schaler nach Lust und Laune, egal ob am Wohnzimmertisch oder wenn du willst machst du von der Küche das Gästeklolicht aus.

Sicher ist das nicht an allen Stellen sinnvoll. Aber gerade da wo die Schaltung sonst komplex wird und viele Verdrahtungen benötigt.

"Smart Home" ist dafür ja noch nicht nötig. Es reicht ja wenn der Schalter quasi in der Lampe sitzt und dein eigentlicher Lichtschalter nur noch diesen Schalter drahtlos betätigt - + die Möglichkeit "Gruppen" zu damit du mit einem Schalter zB 5 Leuchten synchron anschalten kannst.

Allein der Umstand nachher flexibel die Leuchtmittel zu Schalter Zuordnung ändern zu können wöllte ich in vielen Räumen und Häusern nicht missen.

Ergänzung (5. Februar 2020)

schonmal mit wireshark mitgesniffert was der Bot so macht?

ich hab auch schon mit Wireshark unveschlüsselte Passwörter mitgelesen ja. Und nun? Ist dass die Theorie hinter deiner "DMZ ist unnötig" Haltung?

Ergänzung (5. Februar 2020)

und damit wollte ich eigentlich nur andeuten das nichts „sicher“ ist und ohne wirkliche FW zwischen dir und dem Internet wird es mittlerweile schon ziemlich haarig.

Das mag sein. Aber wenn der Roborock im separaten Lan / WLAN hängt dann kann der 24/7 schon mal machen was er will, er wird nicht auf meinen Homeserver kommen. Ganz gleich was er in einer FW darf und was nicht. Und das hat 0 damit zu tun was zb App X und Bot Y machen.
Man muss es der Kiste ja nicht einfacher als nötig machen.
Ich halte es sinnvoll das Risiko einfach direkt so zu minimieren - zumal es für die Benutzung 0 impact hat.

 

[Benji18]

@Krautmaster
ich denke wir reden aneinander Vorbei, ich mach dir die DMZ nicht madig, wenn es dir so passt ists doch ok. Wollte eigentlich nur damit sagen es heißt nicht das dieses Ding dann „sicherer“ ist das Risiko ist nicht 0 ;-).

die Meisten die ich kenne die den Saugi ins Gueste LAN gehäbgt haben nutzen einabgeschottes System zum steuern um das Risiko noch weiter zu reduzieren.

Ich halte es persönlich für unnötige da man auch andere Wege hat das System abzusichern.

 

[Krautmaster]

sehe ich wie gesagt anders. Alleine dass eine "Risikokomponente" weniger im gleichen Netzwerk ist ist das Gesamtrisiko geringer. Unabh. von etwaigen anderen Lücken die sonstwo existieren.

Umgedreht sagst du ja dass es egal ist ob der 24/7 online Roboter China Sauger mit im privaten WLAN hängt oder nicht.

Edit: Sry falls es dir zu persönlich wurde, wollte dich nicht angehen ^^ ich sehs nur wie gesagt einfach anders. Du wirst ja auch nie die perfekte Sicherheit haben, auch nicht mit ner strengen Firewall die jede von jeder Komponente im Lan abschottet und nur diverse Ports zulässt.
Wenn ich jetzt aber zb sowas wie diesen Roboter einfach quasi raus aus dem LAN kicken kann, ins Gästewlan, dabei noch nicht mal Usability Einbußen habe, warum auch nicht... es kann damit eigentlich nur besser / sicherer werden. Zumal ich ja hier nicht mal eine Rule brauche die mir den Zugriff zwischen "DMZ" und "LAN" ermöglicht.

Vielleicht war der Begriff DMZ falsch. Das Gästewlan ist ja viel mehr einfach ein zweiter Haushalt. Ein zweites Lan.
Damit ich die LAN Seite ganz generell nur mit Gehirn und Firewall Regeln gegenüber dem Internet sicher bekommen mag, das steht auf einem anderen Papier.

 

[DerHotze]

Ich habe das so verstanden das das DMZ im Gastnetz ist....
Ordentlich vom Heimnetz getrennt dürfte da doch nix passieren?
Oder doch @Benji18?

 

[Krautmaster]

ja wobei DMZ ja relativ ist da man meist Ports definiert über die das LAN in die DMZ darf zB.

Angenommen die Fritzbox Implementierung des GasteWLAN ist perfekt sicher (was es nicht sein wird), dann haben beide WLANs bzw LANs nix miteinander zu tun. Da ist nicht ein Port dazwischen offen.

In Theorie ist es egal ob der Roboter in einem Haushalt in China steht oder bei mir im Gästewlan.

Die Schnittstelle zwischen beidem ist der gemeinsame Service bei Xiaomi über die sich meine App aus meinem LAN und der Roboter aus seinem LAN verbinden. Klar kann die App wunder weis was abgreifen (wie jede App und Instanz im LAN), in Theorie, nicht aber der Roboter selbst.

 

[Benji18]

Ich habe das so verstanden das das DMZ im Gastnetz ist....
Ordentlich vom Heimnetz getrennt dürfte da doch nix passieren?
Oder doch @Benji18?

Wenn das ding in nem Abgeschotteten Bereich steht ist das Abgreifen mit dem Bot natürlich stark erschwerte od. nahe null. Eine DMZ über einen Home router ist ja keine DMZ im klassischen sinne mit abgeschotteten Segmenten via VLAN od. dezidierten Port und traffic kontrolliert und reglementiert via Firewall.

 

[DerHotze]

Wenn er den Gerät das das Gastnetz bereit stellt nur einen Port zuweist dann braucht es das auch nicht.
Vorausgesetzt der Switch verwirft die Pakete an andere Geräte zuverlässig.

Wobei die Fritte kein DMZ kann.
Er also nur das Gastnetz von avm nutzt, für mich wäre das schon sicher genug. Weil über Standard der meisten User.

 

[Krautmaster]

Ne virtuelle DMZ habe ich hinter einer pfsense FW innerhalb des ESX Server. Darin diverse Webserver, meine Cloud usw und einen Reverse Proxy. Das ist aber alles auf einem Server virtualisiert. Erschien mir aber auch konsequenter hier http und https von außen zu terminieren. Selbst wenn's nur virtuell ist trennt hier die pfsense das virtuelle DMZ Lan vom Rest.

Aber OT ^^

 

[jackii]

Allein diese Woche drei mal mal sehen wie oft das noch passieren muss bis diesem Unfug einhalt geboten wird.

Wenn es nach dir geht wäre das Internet nach 2 Tagen dauerhaft wieder abgeschafft worden.
Mit diesem Unfug wurde immerhin doch schon sehr viel mehr und schlimmeres getrieben. Wenn Glühbirnen nicht ins Netzwerk dürfen dann auch dein Handy, Drucker, usw. nicht. Konsequenterweise musst du dann auf sämtliche Funktionalitäten verzichten, nicht nur eine rauspicken die vergleichsweiße harmlos ist, weil du sie selbst gerade nicht brauchst. Jede Ampelsteuerung und auch sonst alles müsste weg, weil es sogar recht wahrscheinlich bzw. erwiesen ist dass es dort Bugs gab und wieder geben wird.
Etwas erstaunlich wie selbst in einem Technikforum oft alles etwas Neue als unnötiger Quatsch bezeichnet wird und sofort komplett weg soll, statt an vernünftige Lösungen zu denken damit umzugehen und es gut nutzbar zu machen.
Irgendwie jeder dritte hat nicht ansatzweiße verstanden wie Hue, Nuki, usw. funktionieren und behauptet einfach mal es würde im Internet hängen und ohnehin eh alles ganz böse... Jeder Ganove hat ein ZeroDayExploit dabei und geht von Tür zu Tür um auszulesen ob die Lampen wegen Urlaub schon 3 Tage nicht mehr an waren, hackt dann 5 Sekunden grüne 1en und 0en in ein Gerät und alle Türen springen auf..
Ich meine, dass Digitalisierung, Vernetzung, Software, usw. nicht mehr weggeht sollte eigentlich mittlerweile jedem klar sein. Und natürlich wird es dabei immer auch Fehler geben, egal welcher Herstellername und egal wie viel Mühe man sich gibt. Aber gibt es in allen anderen Branchen keine Fehler?
Alles beerdigen wollen, weil nach Jahren der Nutzung von einem Forscher ein sehr theoretisches, bereits geschlossenes Problem gefunden wurde, finde ich kompletten Schwachsinn.
Da man klickstarke Artikel möchte wird natürlich jeder Pups auch wenn er quasi nicht ausnutzbar ist, groß aufgeblasen und dann ist es kein Wunder dass viele Denken das Abendland geht gleich unter und in allem mit Stecker sitzt der unkontrollierbare Teufel persönlich.

 

[smoochy]

Oder einfach selbst zum Schalter oder Thermostat gehen.

Wozu im Supermarkt einkaufen wenn man sich die Nahrung auch im Garten züchten kann.

 

[HaZweiOh]

für eine LED ganz gut.

Schau dir eine Lampe von Ledon "live" an, dann änderst du deine Meinung. Für den Alltag ist das doch wichtiger als der Spielkram. Ich sehe es auch nicht ein, von Philips so verarscht zu werden, dass man für die überzogenen Preise so ein mieses Licht bekommt.

 

[Salamimander]

dH Ich muss jetzt selber Geld ausgeben um eine Kritische Lücke zu heben (Samt Lotterieglück um eine Leuchte zu erwischen die das Problem nicht hat?)

Verbraucherschutz KUEMMERN!!!

 

[PS828]

@jackii ich glaube nicht dass du mich recht verstanden hast. Aufwand, Risiko nutzen.

Willst du jetzt wirklich ein Ampelsystem anhand dieser Gesichtspunkte mit einer Lampe vergleichen.

Eine Lampe schalte ich an und aus, mehr nicht. Und zwar nur wenn ich daheim bin. Was soll ich damit smartes anstellen?

Es gibt Sachen die gehören nicht mit derartigen Schwachstellen versehen. Für mich persönlich das komplette smart Home.
Lieber ne stabile schwere Tür mit ordentlichem schließmechanismus als eine die wegen der pleite des Herstellers plötzlich jeden rein lässt.

Genau so hier die Lampe. Ich brauche es nicht weil ich keinen nutzen darin sehe.
Andere können gerne, dann aber nicht aufregen wenn einem der Mist um die Ohren fliegt

 

[DerHotze]

Für den Alltag (ich denke du meinst abends aufm Sofa) habe ich Halogen an der Decke, um Spots zu setzen eine Halogen Stehlampe 400 W dimmbar vom Sitzplatz erreichbar.
Warum? Weil das Vollspektrum ist. Ganz nebenbei sind auch diese Lampen über hue angebunden.
Tja ich lasse mich gern von den Ledon Dingern überzeugen aber einfaches an und aus kann die hue auch...

Die Ledon sind halt auch nur(!) LED und die Technik kann nur ein sehr begrenztes Spektrum.
Wenn es nach mir ginge gäbe es noch Matte 10 cm Glühbirnen mit 150 W und klare mit verspiegeltem Kopf.
Denn nur das ist gutes Licht.

@PS828
Der Nutzen ist einfach mal an meinem Beispiel :
Wecker klingelt, sehr dunkles Licht geht an, gerade so viel das du deine Socken findest.
Gehst aus dem Schlafzimmer da geht etwas helleres Licht an, dass wird auf den weg (bei mir um eine kleine Theke* im Flur ca 10 m) immer heller.
Das Licht im Bad hat einen Schalter. Und normales Halogen.
Wenn sich dann nichts mehr im Flur bewegt geht die Kaffeemaschine an.

Und das ist nur meine Morgenroutine...

Meine Frau hat eine etwas andere.


Es gibt noch viele weitere über die Balkonbeleuchtung bin zum Filmabend alles so automatisiert das ich nicht einmal zum Handy greifen muss.

Aus der Ferne kannste alles per VPN steuern.

Du brauchst echt mehr Phantasie...


*die Theke ist nur 2,5 m diese teilt den Flur und ich muss einmal hin und zurück

 

[SIR_Thomas_TMC]

Bin froh, dass schon jetzt die Nachteile von Smart Home ersichtlich werden. Hoffe das Smart Home nicht weit kommt. Auch wenn ich es nicht nutze, kann es im sozialen Leben nervig werden. Möchte mich gar nicht mit Menschen unterhalten, die mir davon berichten. Allein das ist schon nervig genug.

Und vor 100 Jahren hättest du dasselbe zum PKW sagen können.
Bin froh, dass schon jetzt die Nachteile von Autos ersichtlich werden. Hoffe das Autos nicht weit kommt. Auch wenn ich es nicht nutze, kann es im sozialen Leben nervig werden. Möchte mich gar nicht mit Menschen unterhalten, die mir davon berichten. Allein das ist schon nervig genug.
Mir langt mein Pferd.

 

[jackii]

Eine Lampe schalte ich an und aus, mehr nicht. Und zwar nur wenn ich daheim bin. Was soll ich damit smartes anstellen? Es gibt Sachen die gehören nicht mit derartigen Schwachstellen versehen. Für mich persönlich das komplette smart Home.

Gerade Hue verkauft sich auch abseits Nerds sehr gut, trotz der recht stolzen Preise.
Allein das ist schon ein dezenter Hinweis darauf dass es für Viele wohl schon sinnvoll ist.
Ich habe seit 5 Wochen 3 Birnen und finde hauptsächlich das Dimmen gut und auch das vom Bett schalten wo kein Schalter ist. Benutze sie als Eieruhr und stelle sie Abends automatisch auf eine wärmere Farbtemperatur. Auch als Lichtwecker sind sie gut, Bewegungsmelder, Ambilight oder Anwesenheitssimulation wenn man mag. Natürlich muss es nicht jeder Haushalt haben, aber was in den letzten 20 Jahren Erfundene muss man unbedingt haben... Nutzlos ist es aber bei weitem nicht und das Risiko dafür doch sehr, sehr überschaubar. Da ist jedes Firefox Plugin und jede Update für eine Android App 100 mal gefährlicher. Für mich sagt die und andere News absolut nicht aus dass man SmartHome Dinge nicht nutzen kann oder sollte. In Relation ist das meist überhaupt kein Problem, das meiste was man über Lücken hört braucht physischen Zugang und einige andere spezielle Voraussetzungen. Leider steht das nur selten oder sehr klein dabei, so dass die Angst sehr viel größer als die reale Gefahr ist, oder auch häufiger ganz eindeutig gar nicht angebracht.

Genau so hier die Lampe. Ich brauche es nicht weil ich keinen nutzen darin sehe.
Andere können gerne, dann aber nicht aufregen wenn einem der Mist um die Ohren fliegt

Naja doch klar regt man sich auf und darf das auch, genauso wie z.B. wenn etwas in einem Onlinegame zweitweise nicht funktioniert, genauso genommen war es auch völlig unnötig sich überhaupt eine Spielekonsole zu kaufen.. gibt ja auch Bücher, aus Papier unso..
Allerdings seh ich eigentlich auch nie Nutzer sich aufregen, die haben schon vor Tagen das Update eingespielt und haben erlebt dass ihnen auch vor zum Fix nichts um die Ohren geflogen ist und niemand die Lampen auf Disko gestellt hat und alles ist gut. Bisschen so wie sich hauptsächlich Leute über Tesla Spaltmaße auslassen die ohnehin keinen Fahren.
Türschlösser sind natürlich etwas heikler aber die meisten kann man ohne Internet betreiben und das es Einbrecher hilft ist auch einfach extrem unwahrscheinlich. Es gibt gute und weniger gute Lösungen, ich bin auch nicht dafür alles blind zu installieren und habe außer dem Hue nichts. Aber einige differenzieren halt gar nicht, sondern verteufeln die gesamte Produktkategorie ohne sich ernsthaft damit zu beschäftigen und zu sehn dass es bei Millionen Leuten Tag ein Tag aus problemlos läuft.
Kann man meinetwegen gern tun, aber zutreffend ist das dann halt nicht.

 

[Roesi]

Heißt: Internetzugriff ja. Aber bitte komplett getrennt vom restlichen LAN. Dürfte für so ziemlich alles im SmartHome gelten außer es hat wirklich keinen Bedarf auf Internet Zugriff. Dann kann man das Gerät aber auch für eben diesen sperren.

Dann wärst Du bei 2 getrennten Wlan Netzen in der Wohnung. Macht Sinn lässt sich aber im Alltag mit Mobilen Geräten die sich mit einem Wlan Netz verbinden nur schlecht umsetzen.

 

[Krautmaster]

Wie meinst du das genau? Der Roborock kennt nur das Gäste WLAN, die meisten anderen Geräte nur das private WLAN. Da bei der Einrichtung nur die Geräte im Gäste WLAN landen auf die ich nicht direkt übers LAN zugreifen muss macht es funktional keinen Unterschied.

Es gibt natürlich genug Geräte bei denen das so nicht funktioniert. Systeme die man aber über Internet transparent zum lokalen Zugriff ansprechen kann oder gar muss, da macht es keinen Unterschied.