• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Technik] Sicherheitslücken bei Tuya-IoT-Geräten

smart-home-3395994_960_720.jpg

Einige Heimautomatisierungsgeräte, wie Schaltsteckdosen, Küchengeräte und Lampen, stammen vom chinesischen Hersteller Tuya, der diese auch unter anderen Namen verkauft. Weltweit sind laut eigenen Angaben rund 11.000 unterschiedliche Geräte im Umlauf. Bereits auf dem 35C3 hat Michael Steigerwald gezeigt, dass die Sicherheit nicht immer geleistet ist.

Zum Enrollment in das Heimnetzwerk verwenden Tuya-Geräte das Smartconfig-Provisionierungsverfahren. Der Benutzer lädt hierfür eine App herunter und versetzt z.B. die Steckdose in den Anlern-Modus. In der App gibt er die Zugangsdaten für das Heim-Wlan ein. Die App fragt bei Tuya ein Token ab, welches zur späteren Identifizierung in der Cloud verwendet wird. Abschließend sendet die App Broadcast-Pakete ins Wlan, bei denen SSID des Wlans, der Schlüssel und das Token über die Paketlänge codiert sind. Problematisch ist dieses Verfahren, wenn jemand bei der Einrichtung zuhört und den Verkehr mitschneidet. Damit kann ein Angreifer an die Wlan-Zugangsdaten gelangen. Nach erfolgreicher Verbindung mit dem Heim-Wlan sendet das Tuya-Gerät den Token unverschlüsselt an die Cloud. Die weitere MQTT-Kommunikation verläuft ebenfalls unverschlüsselt. Hat der Angreifer das Token, kann er dem Tuya-Gerät andere Firmware unterschieben. So kann der Angreifer Malware im Heimnetz des Opfers verbreiten und weiteren Schaden anrichten. Ein anderes Szenario ist die Modifikation von Geräten, die dann entweder verkauft oder an Tuya zurückgeschickt werden.

Diese Erkenntnis lässt sich aber auch im Sinne von Fricklern nutzen. Zusammen mit der c't-Redaktion hat Michael Steigerwald die im Vortrag gezeigten Skripte, die das Verhalten der Tuya-Cloud simulieren, die für die smarte Steuerung per App benötigt wird, soweit erweitert, dass man die Geräte von der Hersteller-Firmware und der Tuya-Cloud befreien kann. Die Weboberfläche für Firmenkunden zeigt, dass der Hersteller mehr als nur die benötigten Daten speichert. Dazu zählt auch der genaue Standort des IoT-Geräts.

Die Anleitung dazu: https://www.heise.de/ct/artikel/Tuy...-Loeten-vom-Cloud-Zwang-befreien-4283623.html
 
Zum Vergrößern anklicken....
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben