Etliche Schwachstellen
LIFX Mini: Schlechte Security-Noten für die HomeKit-Lampe
Die dimmbare, warmweiße E27-Lampe LIFX Mini White gehört mit ihrem aktuellen Verkaufspreis von 19 Euro zu den günstigsten LED-Birnen mit Unterstützung für Amazon Alexa, Apple HomeKit und den Google Assistant.
Um ihre Leuchtmittel zu solch attraktiven Preisen anzubieten, scheinen die LIFX-Verantwortlichen bei der Absicherung von Firmware und WLAN-Modul gespart zu haben.
Dies legt zumindest ein aktueller Bericht des Sicherheits-Blogs „Limited Results“ nahe. Auf diesem wurde das LIFX Mini White-Modell auseinandergenommen, mit einem Rechner verbunden und auf Herz und Nieren abgeklopft.
Das Ergebnis: Die WLAN-Zugangsdaten werden vom Anbieter im Klartext in der Firmare gesichert. Root-Zertifikat und der private RSA-Schlüssel des Anbieters ließen sich extrahieren. Und: Keine der möglichen Hardware-Sicherheitseinstellungen ist gesetzt (der Bootvorgang ist unsicher, der Flash nicht verschlüsselt, die JTAG-Schnittstelle nicht deaktiviert).
Nicht dass eine intelligente Lampe so ungemein viel Angriffsfläche bieten würde – ein Hersteller der die „best practice“-Empfehlungen der Branche jedoch schon bei vergleichsweise einfachen Produkten vernachlässigt, empfiehlt sich nicht unbedingt als Hardware-Ausrüster für die eigenen vier Wände.