In den letzten Jahren sind hundert Millionen Haushalte „smarter“ geworden. Möglich machen das die Smart Home Assistenten, die alle Zugang zum Internet besitzen. Trotz der Bemühungen der Hersteller, die Smart Home Geräte möglichst sicher zu gestalten, gelang es dem ESET Smart Home Research Team, eine KRACK-Sicherheitslücke in Amazon Alexa Geräten aufzuspüren. Das war auch bei mindestens einer Generation des weit verbreiteten Amazon Kindle E-Readers der Fall.
Alle von ESET entdeckten Sicherheitslücken wurden dem Amazon Security Team übermittelt und vom selbigen später gepatcht.
KRACK-Attacks
Im Jahr 2017 machten die belgischen Forscher Mathy Vanhoef und Frank Piessens eine interessante Entdeckung. Sie stellten schwerwiegende Sicherheitslücken im WPA2-Standard fest, einem Protokoll, das zu dieser Zeit praktisch alle modernen WLAN-Netzwerke sicherte. Wie sie in ihrem KRACK Research Paper schreiben, richten sich KRACK-Angriffe hauptsächlich gegen den Vier-Wege-Handshake. Diese Prozedur erfüllt einen doppelten Zweck: Client und Access Point verfügen beide über die richtigen Anmeldeinformationen und zusätzlich handeln sie den für die Verschlüsselung des Datenverkehrs notwendigen Schlüssel aus.
Vanhoefs Team stellte fest, dass ein Angreifer einen Client dazu verleiten kann, das in der aktuellen Sitzung verwendete Schlüsselpaar neu zu initialisieren (nicht das WLAN-Passwort), indem kryptografische Handshake-Nachrichten erstellt und wiedergegeben werden. Nutzt ein Cyber-Eindringling die Sicherheitslücke aus, kann er den XOR-Datenstrom für die Verschlüsselung schrittweise rekonstruieren und dann den Netzwerkverkehr des Opfers abhören.
Viele Alexa-Geräte sind betroffen
Selbst zwei Jahre nach der Entdeckung der Sicherheitslücke sind noch viele Smart Home Geräte nicht gegen KRACK-Attacks gepatcht. Das ESET Smart Home Research Team demonstrierte das beispielsweise an Amazon Alexa-Geräten. Allein in den USA verkaufte der Handelsriese zehn Millionen Amazon Echo und noch mal so viele Kindle Geräte. Damit ergibt sich ein weitreichendes Sicherheitsrisiko.
Die ESET-Forscher testeten die erste Generation von Amazon Echo und die achte Generation der Amazon Kindle Geräte. Die Sicherheitsuntersuchungen konzentrierten sich hauptsächlich auf die Widerstandsfähigkeit gegen die von Vanhoef und Piessens beschriebenen KRACK-Angriffe.
Schnell wurde klar, dass beide Geräte-Typen für zwei KRACK-Sicherheitslücken anfällig waren. Mithilfe von Vanhoefs Skript waren die ESET-Forscher in der Lage, eine Key Reinstallation des Verschlüsselungsschlüsselpaares (PTK-TK) und des Gruppenschlüssels im Vier-Wege-Handshake (CVE-2017-13077 & CVE-2017-13078) zu replizieren.
Durch diese schwerwiegenden Sicherheitsanfälligkeit stehen Cyber-Angreifern folgende Möglichkeiten zur Verfügung:
- Alte Packets neu einspielen, um einen DoS zu provozieren. Damit kappt man die Netzwerkverbindung.
- Entschlüsselung der vom Opfer übermittelten Daten oder Informationen
- Abhängig von der Netzwerkkonfiguration: Fälschen von Datenpaketen, Packets vom Gerät ablehnen lassen oder neu einspeisen
- Abfangen sensibler Daten, wie Passwörter und Session Cookies
Die Amazon Smart Home Assistenten wiesen außerdem noch eine andere Netzwerk-Sicherheitslücke auf, die gar nichts mit KRACK zu tun hat. Es ist die Rede von einer Broadcast Replay Attack. Bei diesem Netzwerkangriff wiederholt man eine eigentlich gültige Broadcast Transmission solange, bis sie vom anvisierten Gerät akzeptiert wird. Diesen „Low Tier“-Angriff kann ein Cyber-Eindringling missbrauchen, um einen Denial-of-Service-Angriff (DoS) zu starten oder Pakete für zukünftige Krypto-Analysen oder Bruteforcing zu sammeln.
Reporting und Patching
Am 23. Oktober 2018 berichtete ESET alle in den Echo- und Kindle-Geräten gefundenen Sicherheitslücken an Amazon. Der Konzern bestätigte ESET noch am selben Tag, die Meldung erhalten zu haben. ESET bekam am 8. Januar 2019 die Zusage, dass das Amazon Security Team die gemeldeten Sicherheitslücken geschlossen habe, Patches bereitstünden und in den nächsten Wochen auf den betroffenen Geräten ausgerollt würden.
Um die CVE-2017-13077- und CVE-2017-13078-Sicherheitslücken in mehreren Millionen Echo-Geräten der 1. Generation und Amazon Kindle der 8. Generation zu beheben, verteilte Amazon eine neue Version des wpa_supplicant – eine "Softwareanwendung" auf den Smart Home Geräten, die für die korrekte Authentifizierung des WLAN-Netzwerks verantwortlich ist.
Fazit
Das ESET Smart Home Research Team entdeckte in Amazon Echo-Geräten der 1. Generation sowie in Kindle-Geräten der 8. Generation eine Anfälligkeit für verschiedene KRACK-Angriffe. Alle Sicherheitslücken wurden dem Handelsriesen gemeldet, damit für die betroffenen Geräte ein Patch entwickelt wird.
Ähnlich wie bei anderen Cyber-Angriffen auf WLAN-Netzwerke muss sich auch bei KRACK-Attacken der Angreifer in unmittelbarer Nähe zum Drahtlosnetzwerk aufhalten. Das bedeutet, dass sich sowohl Angreifer, Access Point (bspw. Router) und das Gerät des Opfers in derselben Funkreichweite befinden müssen.
Attacken gegen die Amazon Smart Home Geräte beeinträchtigen die Sicherheit der über das Netzwerk gesendeten Informationen eher nicht. Das ist darauf zurückzuführen, dass der überwiegende Teil der sensiblen Daten durch eine zusätzliche Sicherheitsmaßnahme geschützt ist. Dabei handelt es sich um das HTTPS-Protokoll in Verbindung mit TLS-Verschlüsselung.
Die oben beschriebenen KRACK-Sicherheitslücken betreffen ausschließlich die Sicherheit von WPA/WPA2. Bei einem erfolgreichen Cyber-Angriff sind die Auswirkungen in etwa so, als ob sich ein User mit einem ungesicherten öffentlichen WLAN verbunden hat. Kritisch wird es dann, wenn die Datenübertragung nicht durch eine weitere Sicherheitsbarriere wie HTTPS/TLS geschützt ist, oder andere Exploits zur Anwendung kommen – was aber den Rahmen dieses Artikels sprengen würde.
ESET empfiehlt allen Amazon Smart Home Geräte Usern die Echo- und Kindle- Einstellungen zu überprüfen und die neuste Echo- bzw. Kindle-Firmware zu installieren.
Wir danken ESET Security Awareness Specialist Ondrej Kubovič für seine Hilfe bei diesem Artikel.