Es liegt in der Natur der Dinge, dass die Themen, die sich mit IT-Security befassen, in aller Regel sehr ernster Natur sind. Doch durch unser digitalisiertes Leben und speziell das Internet der Dinge erblicken auch allerlei Kuriositäten das Licht der Welt. Jemand, der selbst unter diese Kategorie fällt und entsprechend ein gutes Näschen für Skurriles hat, ist Paul Ducklin, IT-Security-Experte bei Sophos. Er hat einige Beispiele aus der digitalen Gadget-Welt herausgefischt und analysiert.
Schau mir in die Wohnung, Kleines
Das Internet der Dinge (IoT) ist dafür berüchtigt, dass es uns zahlreiche Einkäufe von dreierlei Art beschert: Erstens netzfähige Produkte, von denen wir nicht wussten, dass wir sie brauchen, zweitens netzfähige Produkte, die wir trotzdem gekauft haben und drittens netzfähige Produkte, die ganz unvernetzt im Schrank landen. Nicht alle IoT-Produkte fallen in sämtliche der drei Kategorien. Aber es gibt viele, die zumindest einer angehören. Hierzu zählt zum Beispiel die Heimvideokamera mit einer „eindeutigen Kennung”, die bei einem australischen Ehepaar für einige Verwirrung sorgte. Die eindeutige Kennung erwies sich nämlich als so eindeutig, dass die beiden Heimbeobachtungswilligen, im Glauben, in ihrer Abwesenheit die Vorgänge Zuhause im Blick behalten zu können, ungewollt zu Voyeuren wurden: Was sie zu sehen bekamen, war das Wohnzimmer einer fremden Familie.
Pub-licity
Unter die Rubrik „interessant“ fällt auch das Überwachungssystem, durch das ein ahnungsloser Hausbesitzer in England, der eigentlich sein Eigentum überwachen wollte, stattdessen die Außenseite eines ihm unbekannten Pubs näher kennen lernen durfte. Mit Hilfe von Suchmaschinen konnte er das Lokal schließlich ausfindig machen und stattete ihm einen Besuch ab, um ein stärkendes Pint Ale zu genießen. In der Kneipe machte er mit seinem eigenen Handy ein Selfie von sich, wie er sein Getränk genoss… mit der Kamera der Kneipe. Der Wirt, mit dem Foto konfrontiert, teilte sowohl die Freude seines Gastes über das hübsche Selfie als auch dessen Besorgnis über die „Präzision“ seines Überwachungssystems. Allerdings: als Marketingidee könnte dieses technische Versehen vielleicht Schule machen – so füllt man immerhin Pubs.
Fremdschließen nicht ausgeschlossen
Auch das 99 Dollar teure, angeblich intelligente Fahrradschloss ist eine Erzählung wert. Es versprach eine einfache Handhabung ohne Kombination, die man dauernd vergisst und vor allem ohne diese peinliche, ungelenke Schlüssel-Hantiererei im Dunkeln in vernebeltem Zustand. Dafür konnte man sein eigenes Schloss mit der offiziellen App (oder dem persönlichen Fingerabdruck) in 0,8 Sekunden öffnen. Sehr praktisch. Allerdings schaffte dies potenziell aber auch jeder andere, der dafür eine inoffizielle App und immerhin doch zwei ganze Sekunden benötigte. Die „Hacker“, die dieses Vorhängeschloss knackten, waren übrigens britische Penetrationstester – das sind die Leute, die wann immer sie auf etwas stoßen, von dem sie nicht wussten, dass sie es brauchen, sofort feststellen, dass sie es unbedingt brauchen.
Und in diesem Zusammenhang kommt ein digitaler Koffer namens Airwheel SR5 ins Spiel. Auch er rollte ins Blickfeld solcher Leute.
Trunkenheit auf Rollen
Was für eine herrliche Erfindung. Selbstfahrende Koffer. Warum sollte man sein Handgepäck hinter sich herschleppen, wenn man sich genauso gut ein Bluetooth-Armband umschnallen könnte und der Rollkoffer einem durch den Flughafen oder Bahnhof folgte? Und dabei auch noch selbstständig Hindernisse, wie andere Reisende oder deren Kleinkinder oder sogar andere selbstfahrende, intelligente Gepäckstücke umführe? Beim getesteten Robo-Rollcase, so stellten die Tester fest, lief das jetzt aber noch nicht ganz so glatt. Er kam zwar einigermaßen sicher voran, hatte aber Schwierigkeiten seinen Kurs zu halten und verursachte höchst plumpe Kollisionen mit Dingen auf seinem Weg. (Kinder und andere Robo-Rollis waren nicht darunter.) Er erinnerte an einen Reisenden, der an der Flughafen-Bar zu tief ins Glas geschaut hatte.
Treuloses Fremdflitzen
Beunruhigend war aber auch ein echter Konstruktionsfehler beim Digi-Trolley: der SR5 konnte es gleich mit zwei Geräten aufnehmen, die sich mit ihm koppeln mochten. Eine ungewöhnliche und eigentlich ziemlich coole Bluetooth-Errungenschaft – allerdings mit unzureichenden Sicherheitskontrollen für den Kopplungsprozess. Wer nämlich nach Kopplung des schlauen Gepäckstücks mit dem mitgelieferten Armband vergaß, auch noch die zugehörige App auf sein Handy zu laden, der konnte zum einen den Spaß verpassen, das Robo-Gepäckstück wie ein Spielzeugauto in der Flughafenhalle, am Bahnsteig oder sonstwo herumfahren zu lassen (und das im Übrigen auf beunruhigend flotte Weise). Zum anderen bot er damit auch anderen die Gelegenheit, sich an dieser wunderbaren Errungenschaft zu erfreuen. Denn ohne großen Zauber konnten sich auch fremde Geräte mit dem Koffer verbinden und ihn steuern – also Gepäckdiebstahl begehen, ohne das Gepäckstück überhaupt zu berühren. Der „Knackpunkt“ im besten Sinne des Wortes: Der für die Kopplung einzugebende, geheime Code. Raten Sie mal. Genau, er lautete 11111111.
Autor: Paul Ducklin, IT-Security-Experte
www.sophos.com/de-de