Aus dem Netz deaktivierbar Klaffende Sicherheitslücke in Abus-Hausalarmanlage
Eine gefährliche Sicherheitslücke in einem vernetzten Modell einer Abus-Alarmanlage erlaubt es Angreifern, diese über das Internet zu deaktivieren. Ein mittlerweile verfügbares Update werde bislang kaum aufgespielt, so ein Bericht.
Offenbar sind in Deutschland tausende vernetzte Alarmanlagen vom Typ Secvest FUAA50000 von Abus aus dem Internet angreif- und deaktivierbar. Das berichtet das IT-Magazin c't. Entdeckt habe den Fehler offenbar der Sicherheitsexperte Niels Teusink von Eye Security. Er stellte fest, dass sich über eine bestimmte Webadresse die kompletten Einstellungsdaten der Alarmanlage auslesen ließen. Darunter auch der Admin-PIN, hinterlegte Telefonnummern und verbaute Komponenten. Mit diesen Informationen könne der Alarm deaktiviert oder ausgelöst werden.
Teusink informierte Abus bereits im vergangenen Herbst über die Sicherheitslücke. Im Januar stellte Abus dann ein Firmware-Update bereit, das das Problem beheben sollte. Doch offenbar spielen die wenigsten Nutzer das Update auch auf.
Laut Teusink hätten bislang gerade einmal zehn Prozent der Nutzer ihr System abgesichert – tausende Alarmanlagen bleiben damit weiter ungeschützt. Die c't-Redaktion fand bei Stichprobenprüfungen tatsächlich innerhalb kürzester Zeit Hunderte angreifbarer Anlagen.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet auf Twitter von tausenden angreifbaren Systemen und rät den Besitzern, diese zu schnell wie möglich abzusichern. Außerdem solle man die Verbindung ins Internet mit einem VPN-Dienst absichern.
Besitzer der Anlage sollten prüfen, ob die Firmware-Version 3.0.1.21 installiert ist. Ist die Versionsnummer kleiner, besteht vermutlich noch Gefahr.
