Netzwerk durch Smart-Home Gerät kompromittiert?

Netzwerk durch Smart-Home Gerät kompromittiert? (30 Beiträge, 1281 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Kurze Frage an die Experten: wir haben uns einen Staubsaugerroboter zugelegt, der natürlich mittels App gesteuert wird. Ich war jetzt etwas erstaunt, als ich auch von außerhalb meines Netzwerks Zugriff auf das Gerät hatte und den Status verfolgen konnte.
Ist mein internes Netz jetzt potentiell kompromittiert? Am Router habe ich  natürlich keinerlei Änderungen vorgenommen...

Thx


          -------------------------------------------------------------------------------------------------

Hat er von außen nicht nach Zugangsdaten gefragt?

Eben nicht. Wir haben das Kastl (https://geizhals.at/xiaomi-roborock-s5-max-weiss-a2189012.html ) einmal eingerichtet (Verbindung mit dem Netzwerk mittels beiliegendem Code) und das wars...


          -------------------------------------------------------------------------------------------------

Da ist bestimmt ein PW gesetzt. Und die App hat es wohl gespeichert. Sollte alles ok sein.
Versuche es doch einmal mit einem anderen Handy. Da wirst du nicht auf deinen Roboter kommen.

Ist nicht komprimitiert, sind nur die Chinesen, die zu jeder Zeit überprüfen können wollen, ob du eh sauber bist.
emefge
Infosauger
_____________________________________________________________________________

Weil die Lichtgeschwindigkeit höher als die Schallgeschwindigkeit ist, hält man viele Leute für helle Köpfe bis man sie reden hört.

"Bekomme ich bei Ihnen so einen ganz kleinen Lötkolben zum CPU reparieren?"

Wieso Realität? Ich hab doch verdammt noch mal was Besseres zu tun!

Welches Gerät, welchen Nutzungsbedingungen hast Du wo zugestimmt?

Immer erfrischend wie unbedarft der Laie denkt das Hersteller nicht an deinen Daten Interesse haben....

Einn potenzieller Einbrecher freut sich bestimmt über deinen floorplan

Gerät: https://geizhals.at/xiaomi-roborock-s5-max-weiss-a2189012.html

Dass da Daten fließen ist mir klar. Freut mich nicht unbedingt, halte ich aber prinzipiell für a) nicht änderbar und b) nicht sicherheitsrelevant.

Was mich interessiert ist, ob mein internes Netz jetzt ein potentielles Leck hat


          -------------------------------------------------------------------------------------------------

Ja natürlich, daher gehört so etwas prinzipiell in ein Gäste-LAN oder WLAN. Dadurch trennt der Router es sauber ab.

Wir haben in der Firma ein eigenes IoT LAN dafür.

Das ist eine gute Idee Werde ich heute einrichten.
Wie das ding aber ohne mein Zutun eine Verbindung zulässt ist mir ein Rätsel. Als ich mal (Testweise) den Zugang zu meiner Nas von extern eingerichtet habe, war das ein ziemliches Gefrickel mit Ports etc...


          -------------------------------------------------------------------------------------------------

Amateure wie du und ich sollten GRUNDSÄTZLICH keine Ports ins Internet öffnen. Das Risiko, dass man einen Fehler macht oder die Software, die da durchwill, ein Security Problem darstellt, ist viel zu hoch.

Daher Gäste WLAN. Und alles was da drin steht, kann verloren gehen oder gekapert werden. Das darf aber nicht stören.

Bin eh bei dir, das war halt damals zum Testen. Nur im Gegenständlichen Fall scheint es ja eben anders zu funktionieren weil ich Saugi eben nix außer dem internen WLAN erlaubt hab...


          -------------------------------------------------------------------------------------------------

https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik )

dorthin gehören solche Geräte isoliert.

Ist dein WLAN vom LAN isoliert? Das ist nicht das übliche Anwendungsszenario im SOHO....

https://www.youtube.com/watch?v=uhyM-bhzFsI

nette Aussichten, und fein das es bereits root für die Kisten gibt

22.02.2021, 14:22 Uhr - Editiert von LZ, alte Version: hier

Ah, danke. Kam mir schon mal unter, beschäftigt habe ich mich aber noch nie damit. Guter Zeitpunkt um damit anzufangen

LAN und WLAN sind nicht isoliert


          -------------------------------------------------------------------------------------------------

DMZ ist ein netter Gedanke! Bloß wird für einen unbedarften User die Fehlerwahrscheinlichkeit gegen 100% konvergieren. Er wird ja umgehend das Private LAN/WLAN in Richtung der DMZ freischalten, um die dortigen Geräte/Services gemütlich nutzen zu können. Und schwupps, schon macht er ungewollt er einen Fehler und verwandelt die hübsche DMZ in ein Fenster mit Durchzug.

Daher mein Vorschlag mit dem Gäste-LAN/WLAN. Dort muss er mit seinem Endgerät bewusst einsteigen und anschließend wieder aussteigen.

Nein, da is gar nix kompromittiert.

Teamviewer und Anydesk kommen auch ohne Port Weiterleitung zu Dir durch.

Das ist i.d.R. die schöne neue Cloud-Welt. Die Geräte verbinden sich mit einem Server des Herstellers und die Verbindung ist natürlich bidirektional und bei aktivem Gerät ebenfalls aktiv. Deshalb muss man auch nur ausgehende Verbindungen zulassen und keine Ports öffnen.

Wird der Server des Herstellers gehackt, bist du natürlich im A...., weil die Geräte sicherlich nicht besonders resilient sind und oft Kameras und Mikrofone haben.

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

Sie Geräte verbinden sich mit einem Server des Herstellers und die Verbindung
ist natürlich bidirektional und bei aktivem Gerät ebenfalls aktiv. Deshalb muss man auch nur ausgehende Verbindungen zulassen und keine Ports öffnen.

Danke


          -------------------------------------------------------------------------------------------------

was glaubst wie ich sonst von unterwegs meine
tahoma (haussteuerung)
ring (kamera für kätzchen)
hargassner (heizung)
stueren könnte

läuft alles über die hersteller clouds,
ohne kommt (fast) nirgenst mehr hin

Gruß Sonic The Hedgehog

In meiner kindlichen Naivität hatte ich halt gedacht man müsste das irgendwo einstellen aber andererseits gibts dazu keinerlei Menüpunkt oä. also hätte es mich eigentlich nicht überraschen sollen...


          -------------------------------------------------------------------------------------------------

Wie ich ohne den Dreck so lange leben konnte?!?

Und dabei bin ich fanatischer Cloud Nutzer. Nur entscheide ich halt gerne selbst, was ich tue und hergebe und was nicht.

da sitzen eben endlich nmal Entwickler die wissen das eine TCP Session ne Saloon Tür ist, die schwingt nach beiden Seiten, wurscht ob von drinen nach draussen geht oder umgekehrt. Das behirnen manche leider bis heute nicht
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

P2P nennt sich diese Technologie, die heute leider viele Hersteller nutzen, damit sich DAU Kunden nicht mit dem Einrichten von Port Weiterleitungen im Router herum plagen müssen.

Z.B. bei vielen IP Kamera Herstellern wird das eingesetzt wie ich es beim Stöbern auf zahlreichen Webseiten sehe.

Hier erklären z.B. zwei kleine deutsche Kamerahersteller P2P:
https://www.upcam.de/hilfe/fernzugriff-ip-kamera-p2p-hinweis-sicherheit
https://wiki.instar.com/de/Web_User_Interface/720p_Serie/Netzwerk/P2P/
Ein Video von denen zu Portweiterleitung oder P2P:
https://www.youtube.com/watch?v=FjE95bL7_p4

um das mal richtig zu stellen.....

P2P bedeutet ledigliche Port to Point oder Peer to peer. Das sagt jetzt mal über irgendwelche Forwards oder so genau nix aus.

Die "Evolution" ging so, bzw verwenden das (oder Mischformen) viele bis heute..zeitlicher Ablauf nicht so wirklich zu 100% OK

man hat manuell Forwards auf Routern angelegt um "nach hinten" ins LAN zu kommen
die Forwards wurden durch so genannten Port Knocking nur ann aktiviert wenn man von aussen erst mal "angeklopft" hat, eben auf einem anderen Port
man hat die Forwards bei Bedarf manuell am Router aktiviert, dazu muss aber klarerweise eine remote Zugriff auf den WAN Router erlaubt sein
der DMZ, Bastion oder exposed host wurde geboren, eien IP auf die man per default quasi mal alles weitershickt: völliger Unsinn
UPnP wurde geboren, LAN Devices können sich mit dem Router aushandeln welche Forwards einzurichten sind. Das ist eher Mist, aber besser als der exposed host
die Cloud ist da, devices verbinden sich aus dem LAN raus zu Cloud Servern, da brauchts außer (hoffentlich) 443 meist nix. Wenn man da unüberlegt rangeht haben schnell mal Leute Zugang zu eigenen Daten oder dem Netz die man da nicht haben will
"unbequem" und nicht für jedes Produkt möglich: VPN am Router oder einem dezidierten Device verwenden, mit MFA anmelden und erst dann Zugriff aufs Heimnetz erlangen. Ja, da gehen dann eben einige bequeme cloudifizierte Anwendungen nimmer, aber das ist jemand der sich für diese Richtugn entscheidet ohnehin klar.
was oft vergessen wird....ipv6

da is dann nix mehr mit forwards da kein NAT

da brauchts dann schon eine firewall, zumindest Paketfilter am Router.

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

ab ins gäste wlan (inkl aktivierter ap isolation) mit dem teil und auch allen anderen geräten, welche nur ins internet können sollen.

Damit ein Gerät von draussen gesteuert werden kann (ob man will oder nicht ist Kapitel 2) gibt es zwei Möglichkeiten:
1) Du findest deine öffentliche IP und richtest Portweiterleitung in dein Router ein, oder
2) das gerät verbindet sich zu ein Server beim Hersteller, und der zugehörende App auch: dort werden die beiden verknüpft, und da kannst vom App auf dein Gerät zugreifen.

Meist wird heutztage 2 genommen, weil die meiste Leute würden es nicht schaffen eine Portweiterleitung ein zu richten (und per Default hat man im Chello-Netz zB keine öffentliche IP mehr)

Wann du nicht willst dass so ein Gerät nach Hause telefoniert, kannst du versuchen der Funktion im Gerät ab zu schalten, oder für versierte Leute, der MAC am Router zu blockieren...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Ich habe für solche Smarthome Geräte ein eigenes 4G Modem (Würfel überbleibsel von t-mobile) und eine Drei Karte mit 3GB pro Jahr, kostet nur einmal 10€/Jahr.
Sprich komplett getrennt von meinem internen Netzwerk.

Zwei Möglichkeiten:

Der Staubsauger baut selbst eine Verbindung zum Herstellerserver auf und hält so einen Tunnel offen - d.h. dein Router akzeptiert keine vom Internet aus eingehenden Anfragen, sondern die Verbindung wird vom Staubsauger begonnen. Das ist ok, eine Verbindung zum Herstellerserver haben sowieso alle "smarten" Geräte.

Oder:

Der Staubsauger hat sich initial beim Setup mittels UPnP auf dem Router einen Port geöffnet. Der Router akzeptiert vom Internet aus eingehende Anfragen. Das ist einerseits problematisch, weil eingehende Verbindungen ein potentielles Sicherheitsrisiko darstellen, andererseits weil UPnP am Router selbst eine Sicherheitslücke darstellt. Es wird generell empfohlen, am Router die UPnP-Funktion zu deaktivieren.

(Sorry für die späte Antwort - hab das nun dennoch geschrieben, da du bisher keine einzige Antwort bekommen hast, die darauf eingehen, wie das technisch möglich ist. Du kannst jetzt als nächsten Schritt zB UPnP googeln und schauen ob du das bei dir sicherheitshalber deaktivieren willst (würde ich empfehlen!), dann kannst du dir am Router-Webinterface die freigeschalteten Ports anschauen. Wenn da nix drin ist -> alles ok. Wenn da was drin war und der Staubsauger nun nicht mehr so will wie vorher, kann man dann weiterschauen.)

22.03.2021, 11:59 Uhr - Editiert von PeterShaw, alte Version: hier

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung