Foto © Sonos Inc.

Sonos und Bose - Zugriff von Außen auf Netzwerk-fähige Speaker möglich

Bei all den Vorzügen rund um einfache, komfortable Bedienung und immenser Flexibilität bei der Wahl der Quellen sollte man vernetzte Lösungen der Unterhaltungselektronik mit entsprechender Sorgfalt einsetzen. Dies beweist ein nunmehr von den Sicherheitsexperten von Trend Micro durchgeführter Versuch, von Außen auf Netzwerk-fähige Speaker zuzugreifen. Tausende Sonos-Geräte und hunderte Bose-Systeme konnten sie problemlos „übernehmen“.

Kurz gesagt...

Wie Wired berichtet, gelang es Sicherheitsexperten von Trend Micro auf bestimmte Netzwerk-fähige Speaker von Sonos Inc. und Bose Corporation problemlos von Außen zuzugreifen und diese zu manipulieren.

Wir meinen...

Wer auf „smarte“ Lösungen zur Haussteuerung oder Multiroom Streaming-Systeme setzt, die vielleicht gar direkt mit besagten Smart Home-Systemen verbunden sind, der sollte sich von der einfachen und simplen Installation und der intuitiven Bedienung nicht in die Irre leiten lassen. Vielmehr sollte man in diesem Fall dem Thema Sicherheit des eigenen Netzwerks sehr viel Aufmerksamkeit widmen. Dies setzt natürlich entsprechende Fachkenntnis voraus, verfügt man über diese nicht, so ist es empfehlenswert, einen Experten zu Rate zu ziehen. Schließlich sollen all die Vorzüge derartiger Lösungen genossen werden können, ohne sich damit ein massives Sicherheitsproblem einzuhandeln.

Von Michael Holzinger (mh)
29.12.2017

Share this article


Vernetzte Lösungen der Unterhaltungselektronik bieten eine Vielzahl an Vorzügen. Da ist einerseits die immense Vielfalt an Quellen, die damit zur Verfügung stehen, gleichzeitig die überaus komfortable Steuerung und die simple Inbetriebnahme bzw. Integration in bestehende Systeme sowie die flexible Erweiterungsmöglichkeit. Dies gilt auch für Systeme, die direkt in „smarte Lösungen“ implementiert werden können, somit essentieller Teil eines so genannten Smart Homes sind, und damit etwa die Schnittstelle zu Haussteuerungs-Lösungen bilden.

Doch bei all der Euphorie über die damit einhergehenden Möglichkeiten sollte man sich stets darüber bewusst sein, dass es sich letztlich um nichts anderes als „IT-Lösungen“ handelt, die dies alles ermöglichen, und damit die gleich große Sorgfalt im Umgang mit diesen Produkten geboten ist, wie sie herkömmliche PCs rund um Sicherheit erfordern.

Dies demonstriert ein Versuch des Unternehmens Trend Micro, über den das Magazin Wired dieser Tage berichtete. Sicherheitsexperten von Trend Micro ist es gelungen, auf Netzwerk-fähige Lautsprecher-Systeme der Marken Sonos Inc. sowie Bose Corporation zuzugreifen, und zwar auf letztlich geradezu einfachste Art und Weise.

Dazu benötigte es nicht mehr als einen Scan im Internet mit entsprechenden Tools wie etwa NMAP und Shodan, und schon wurden, je nach Tageszeit an denen diese Scans durchgeführt wurden, mehrere Tausend Sonos-Lösungen und hunderte Bose-Systeme „offen“ dargeboten, und konnten von den Sicherheitsexperten mittels Remote-Zugriff nahezu vollständig gesteuert, also „übernommen“ werden. So spricht das Unternehmen von 2.000 bis 5.000 Sonos-Systemen, und bis zu 500 Bose-Lösungen. Zugegeben, dies erscheint „global“ gesehen als überschaubar, zeigt aber offen eine essentielle Problematik auf, nämlich, dass mit derartigen „smarten Lösungen“ vielfach viel zu leichtsinnig umgegangen wird.

So gelang es den Experten von Trend Micro, direkt auf APIs der gefundenen Systeme von Sonos Inc. Und Bose Corporation zuzugreifen, genauer gesagt den Modellen Sonos PLAY:1, aber auch dem neuen Sonos ONE, sowie Lösungen aus dem Bose SoundTouch System. Dies ging soweit, dass sie über die Speaker beliebige Soundfiles abspielen konnten, aus Sicht der Eigentümer die Speaker also scheinbar wie von Geisterhand irgend eine Musik abspielten.

Abgesehen davon, dass dies allein schon bedenklich ist, ist etwa ein Sonos ONE und damit eine Lösung mit integrierter Spracherkennung über Amazon Alexa im Spiel, so kann ein komplettes Smart Home von Außen übernommen werden, denn wenn man beliebige Soundfiles abspielen kann, können dies natürlich auch Sprachkommandos sein, wie etwa das Licht ein- und ausschalten, die Heizung manipulieren, oder gar „smarte“ Sicherheitssysteme schlichtweg ausschalten.

Auch wenn Sonos Inc. laut dem Bericht von Wired umgehend auf die Problematik reagierte und über ein Firmware-Update bei den betroffenen Systemen den Zugang deutlich beschränkte, wohingegen Bose Corporation eher eine verhaltene Reaktion zeigte, die eigentliche Gefahr gehe nicht von den Speakern selbst aus, so das Urteil der Experten von Trend Micro. Vielmehr gelang der Zugriff da, wo Anwender einfachste Sicherheitsmaßnahmen in ihrem Netzwerk ignorierten, somit einen Zugriff von Außen erst ermöglichten.

Derartige Streaming-Lösungen sollen ja sogar bis zu einem gewissen Grad offen für jedwedes Device im eigenen Netzwerk sein, dies macht ihre simple Handhabung aus. Allerdings sollte vom Anwender selbst klar festgelegt sein, wer auf das Netzwerk zugreifen kann, und dies sollte tunlichst niemand von Außen sein. Es gilt also, das eigene Netzwerk bestmöglich zu schützen und etwaige Zugriffe wie etwa für Dateifreigaben unterwegs tunlichst zu unterlassen oder die entsprechende Konfiguration allein mit entsprechender Fachkenntnis bzw. durch einen Fachkundigen vorzunehmen bzw. Konfigurieren zu lassen.

Share this article