Ikea behebt zwei alte Schwachstellen im Trådfri-Beleuchtungssystem - teilweise
Ikea hat zwei Schwachstellen in seinem Trådfri-Beleuchtungssystem behoben - zumindest teilweise. Nutzt ein Angreifer die Sicherheitslücken aus, kann er dafür sorgen, dass sich die Lampen nicht mehr bedienen lassen.
Sicherheitsforschende von Synopsys haben über zwei Schwachstellen in den Trådfri-Leuchtmitteln von Ikea informiert. Die kalifornische Cybersecurity-Firma hatte die beiden zusammenhängenden Probleme bereits im Juni 2021 entdeckt und Ikea informiert. Das schwedische Möbelhaus behob die Lücken auch schon zwischen Februar und Juni dieses Jahres - zumindest teilweise. Publik gemacht haben die Unternehmen die Lücke jedoch erst jetzt.
Ein Angreifer könnte die Schwachstellen jeweils durch einen fehlerhaften Zigbee-Frame (IEEE 802.15.4) ausnutzen. Der fehlerhafte Frame ist eine nicht authentifizierte Broadcast-Nachricht, wie Synopsys erklärt. Das heisse, dass alle anfälligen Geräte in Funkreichweite betroffen seien.
Leuchtmittel und Gateway betroffen
Bei der ersten Schwachstelle (CVE-2022-39064) lässt das Frame die Leuchtmittel blinken. Ausserdem kann das Frame bei wiederholter Eingabe die Leuchtmittel auch auf Werkseinstellungen zurücksetzen.
Nach dem Angriff leuchten sämtliche Leuchtmittel mit voller Helligkeit. Nutzer und Nutzerinnen können sie anschliessend weder mit der Ikea-Home-Smart-App noch mit der Trådfri-Fernbedienung ansteuern.
Die zweite Schwachstelle (CVE-2022-39065) funktioniert sehr ähnlich. Auch hier steht am Anfang wieder ein fehlerhafter Zigbee-Frame. Dieser führt dazu, dass das Trådfri-Gateway nicht mehr reagiert. Infolgedessen können Nutzerinnen und Nutzer die angeschlossenen Leuchtmittel nicht mehr über die Ikea-Home-Smart-App oder die Trådfri-Fernbedienung einstellen.
Problem teilweise gelöst
Ein Upgrade der Gateway-Software auf die Version 1.19.26 oder höher behebt dieses Problem. Die erste Sicherheitslücke ist bislang nur teilweise gestopft. In der Version V-2.3.091 seien die Probleme mit einen fehlerhaften Frames gelöst - aber nicht mit allen bekannten problematischen Frames.
Für Ikea war dies nicht das einzige Cyberproblem in 2021. Ende des vergangenen Jahres hatte das Unternehmen mit einer Cyberattacke zu kämpfen. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Online USV-Systeme halbiert Preise für Batteriepakete
Empa entwickelt neuen Tandem-Solarzellentyp
Best of Swiss Web bittet zum Winner Talk
Welche Herausforderungen grosse Lastendrohnen mit sich bringen
ETH-Spin-offs entwickeln leistungsfähigere Batterien
Update: Kanton Zürich erhält mehr als 3000 Fördergesuche für E-Auto-Ladestationen
Fachhändler: "Mit diesen Kopfhörern kann man wrestlen!"
Ehrliche Werbe-Jingles für Apple, Netflix, Sprite und Co.
Microsoft entdeckt neue Angriffe auf Android-Apps
