Digital Life
08.08.2016

Erste Ransomware für smarte Thermostate

Wenn das Thermostat im Sommer auf 40 Grad heizt und Bitcoins fordert, um die Heizung abzuschalten, könnten Cyberkriminelle dahinterstecken.

IT-Sicherheitsexperten warnen seit Jahren vor Smart-Home-Geräten. Viele seien unzureichend gesichert, wie etwa Kühlschränke die Gmail-Passwörter verraten oder Babykameras, deren Live-Videos frei zugänglich im Internet zu finden sind.

Jetzt haben zwei Sicherheitsforscher auf der Def Con Messe das nächste Smart Home-Gerät ins Visier genommen: Thermostate. Sie haben die Angreifbarkeit mit einem Gerät auf Linux-Basis demonstriert, wie Vice berichtet. Der User kann den gehackten Thermostat nicht mehr bedienen. Auf dem Display wird eine Nachricht angezeigt die zur Zahlung von Bitcoins auffordert, um den Zugriff wieder freizuschalten.

Versteckte Malware

Laut den Forschern überprüft der Thermostat nicht, welche Art von Dateien ausgeführt werden. Zwar muss die Software, indem die Malware versteckt ist, in diesem Fall von einer Person vor Ort auf dem Thermostat installiert werden, allerdings lassen sich User austricksen. Die Forscher nennen Pokémon Go als Beispiel. Um schon vor dem offiziellen Start Pokémon Go zu spielen, haben User bewusst APK-Dateien der App aus unsicherer Quelle auf ihren Smartphones installiert. Einige der APK-Dateien waren mit Malware verseucht.

Die Forscher wollten nicht den Hersteller des Thermostats nennen, da sie die Lücke erst kurz vor der Messe gefunden und noch nicht den Hersteller darüber informiert haben. Sie gehen davon aus, dass sich das Problem einfach beheben lässt. Dennoch warnen sie vor Internet-of-Things-Geräten. Da viele davon nicht ausreichend gesichert sind, lade man mit dem Kauf solcher Geräte Fremde ins eigene Netzwerk ein.