News Netzwerkzugriff: Hacker spielen Musik auf Sonos- und Bose-Boxen ab

[Frank]

Laut Trend Micro sind einige Netzwerk-Lautsprecher von Sonos und Bose für Hacker-Angriffe anfällig, da sie den Remote-Zugriff ermöglichen. Hacker machen sich diese Lücke zu Nutze, um aus der Ferne Töne, Lieder und Alexa-Befehle auf den Lautsprechern abzuspielen.

Zur News: Netzwerkzugriff: Hacker spielen Musik auf Sonos- und Bose-Boxen ab

 

[Facepalm]

Wired berichtet von einem ihnen bekannten Fall, bei dem in der Nacht auf einem Sonos-Lautsprecher einer Frau Babygeschrei und das Bersten von Glas abgespielt wurde.

Das ist ja voll gruselig.

 

[Nebulus Jones]

"Schuld ist der Nutzer selbst".

Naja, wenn man von IT Spezialisten als typischem Nutzer ausgeht, mag das wohl stimmen..

Ich finde die Hersteller machen es sich zu einfach, alles auf die Kunden zu schieben. Das wäre ganz einfach zu lösen in dem man die Geräte, die die Sonos/Bose steuern dürfen als trusted markiert und alles andere blockiert. Wie wenn man ein iPhone mit nem Apple TV koppelt. Nummer eingeben, fertig.

 

[Coca_Cola]

Hatten die Hacker wenigstens nen guten Musikgeschmack?

 

[zonediver]

Ein "normaler User" wird wohl kaum in der Lage sein, sein Netzwerk "abzusichern" - dem fehlt schlichtweg das Wissen darüber...
Also wirklich - die machen sich's schon "sehr" einfach...

 

[ranzassel]

Ein "normaler User" wird wohl kaum in der Lage sein, sein Netzwerk "abzusichern" - dem fehlt schlichtweg das Wissen darüber...
Also wirklich - die machen sich's schon "sehr" einfach...

Dann muss der Nutzer sich eben in die Lage versetzen. Oder sich das gegen Bares einrichten lassen.... Unwissenheit schützt vor Strafe nicht. Und ich repariere an meinem Auto auch keine Bremsen. Eben weil ich keine Ahnung davon habe. Warum sollte das bei IT anders sein?

 

[PULARITHA]

Gibt es Infos darüber was genau falsch konfiguriert worden ist?

 

[[F]L4SH]

Die Hersteller baden ihre Hände natürlich in Unschuld.
Damit liegen die nicht persé falsch aber eben auch nicht richtig.


...
Bestes Beispiel ist für mich mein WLAN AP von TP Link. Da kann einem übel werden - per Default sind da "Admin" als Passwort und Nutzerkennung hinterlegt und das WLAN selbst hat dann ein Passwort, das aus einer Hand voll Zahlen besteht, die man aber nicht mal braucht, wenn man per Admin auf das Gerät zugreifen will - dazu reicht es, wenn man sich innerhalb der sehr üppigen Reichweite befindet (auf Maximalleistung, die voreingestellt ist, kann ich mit dem Tablet im Auto auf der Straße zwei Häuser weiter surfen).
Klar ist der User verantwortlich, wenn er das nicht ändert aber mMn. trägt TP Link dann eine Mitschuld, weil man eben nicht wie auf jeder Fritzbox ein eigenes Gerätepasswort definiert und aufdruckt.

 

[modiple]

Das würde mich auch mal interessieren, was man da absichern muss. Hab hier nämlich 4 Stück von den SoundTouch stehen.

 

[Nebulus Jones]

Dann muss der Nutzer sich eben in die Lage versetzen. Oder sich das gegen Bares einrichten lassen.... Unwissenheit schützt vor Strafe nicht. Und ich repariere an meinem Auto auch keine Bremsen. Eben weil ich keine Ahnung davon habe. Warum sollte das bei IT anders sein?

Man kann doch selbst überhaupt nicht wissen, ob und wann man genug weiß.. Willst du das anhand des "Gefühls" festmachen, ob man bereit ist IT zu nutzen? "Och ich finde ich hab jetzt genug Ahnung" und dann kommt jemand der weit mehr weiß als du und dann baust du zu Hause wieder alles ab?

Ich finde die die genug Ahnung haben (Die Unternehmen die solche Produkte anbieten) müssen die Schützen, die wenig bis keine Ahnung haben (Ihre Kunden). Ansonsten dürften sie die Produkte nämlich auch nur an Experten vermarkten.

 

[leipziger1979]

"Schuld ist der Nutzer selbst".

Naja, wenn man von IT Spezialisten als typischem Nutzer ausgeht, mag das wohl stimmen..

Ein "normaler User" wird wohl kaum in der Lage sein, sein Netzwerk "abzusichern" - dem fehlt schlichtweg das Wissen darüber...

Wieso ?
Jeder Smartphone Dödel hält sich doch für einen IT Spezialisten der alles kann.
Von daher haben die Hersteller schon recht mit ihrer Aussage.

Sieht man doch auch hier im Forum immer wieder.
Jeder kann alles kaufen und sich irgendwie zusammen stecken in der Hoffnung das es irgendwie schon funktioniert auch wenn man keine Ahnung hat.
Aber wehe dem es funktioniert nicht...

Es müsste wirklich eine Art "digitalen" Führerschein geben, ähnlich wie beim Auto.
Aber sind wir ehrlich, den würden weniger als 5% bestehen.

 

[Nebulus Jones]

Wieso ?
Jeder Smartphone Dödel hält sich doch für einen IT Spezialisten der alles kann.
Von daher haben die Hersteller schon recht mit ihrer Aussage.

Statt aus deiner Experten Sicht die Leute zu verurteilen, die eben keine Ahnung haben, solltest du auch mal die andere Richtung versuchen zu verstehen. Nicht jeder der solche Produkte nutzt arbeitet in der IT Branche.. Es gibt auch noch bspw. Bäcker und Köche, die dein Essen zubereiten, ohne die du selbst keine Kunden hättest, die dafür sorgen, dass du Arbeit hast und umgekehrt. Das ganze System ist in sich abhängig und deswegen muss einer den anderen Unterstützen und nicht nur als trottel abkanzeln, der keine Ahnung hat.

 

[CS74ES]

Die Hersteller müssen einfach nur mitdenken. Wenn man sein Netzwerk von außen zugänglich machen kann, muss auch erklärt werden, dass das risikoreich ist, man kann nicht von jedem verlangen Informatik studiert zu haben.
Sie können die kompliziertesten Programme erstellen, können sich aber nicht in andere Menschen versetzen.

 

[Donnidonis]

So wie ich es verstanden habe gibt es ne API um Remote Musik spielen zu können, ist ja alles gut soweit. Und wer sein Netzwerk von außen zugänglich macht, muss doch erstmal die Ports im Router freigeben, oder nicht? Sonst muss ein Hacker ja erstmal durch die FritzBox etc durch. Es gibt ja quasi kaum ein anders vorstellbares Szenario an Netzwerkaufbau, jedenfalls ist mir noch nirgends was anderes untergekommen (im privaten Bereich).

 

[Pandora]

Wenn man sein Netzwerk von außen zugänglich machen kann, muss auch erklärt werden, dass das risikoreich ist, man kann nicht von jedem verlangen Informatik studiert zu haben.

Stimmt schon, wenn ich meine Haustür aushänge und ein bunt blinkendes open house Schild aufhänge kann ich natürlich nicht davon ausgehen das wildfremde Menschen ungefragt in mein Haus kommen und Blödsinn anstellen können

Statt aus deiner Experten Sicht die Leute zu verurteilen, die eben keine Ahnung haben, solltest du auch mal die andere Richtung versuchen zu verstehen.

Es ist trotzdem erschreckend wie ahnungslos die meisten Menschen in Bezug auf IT sind. Ich bin auch kein Mechatroniker, trotzdem kann ich dir erklären wie ein Motor, Getriebe etc funktioniert und die meisten Reparaturen könnte ich auch alleine durchführen wenn ich das passende Werkzeug und Lust/Zeit hätte.
Aber dann frag die Leute mal wie Computer oder das Internet funktionieren und das sind noch fragen auf dem Niveau der Frag warum das Rad rund und nicht eckig ist.

 

[MaxElektrisch]

Es ist trotzdem erschreckend wie ahnungslos die meisten Menschen in Bezug auf IT sind. Ich bin auch kein Mechatroniker, trotzdem kann ich dir erklären wie ein Motor, Getriebe etc funktioniert und die meisten Reparaturen könnte ich auch alleine durchführen wenn ich das passende Werkzeug und Lust/Zeit hätte.
Aber dann frag die Leute mal wie Computer oder das Internet funktionieren und das sind noch fragen auf dem Niveau der Frag warum das Rad rund und nicht eckig ist.

Ja viele Menschen sind in Bezug auf IT sehr, sehr blauäugig. Dennoch lasse ich den Vergleich mit dem Kfz nicht gelten. Ich habe in Physik auch aufgepasst und weiß, wie Motor Getriebe etc. funktionieren. Dennoch würde ich niemals am eigenem Auto herumbasteln, insbesondere schon gar nicht an sicherheitsrelevanten Teilen (Bremse etc.).

Und viele Menschen wollen auch gar nicht wissen, wie etwas funktioniert. Es muss einfach nur funktionieren, dass ist die Hauptsache. Wenn ich mein Auto brauche, um zur Arbeit zu kommen, ist mein vorrangiges primäres Interesse, dass der Karren überhaupt läuft. Wie das Ganze dann passiert, ist im Falle des Falles Aufgabe der Werkstatt.

 

[Thomaswww]

Gibt es dazu irgendwo technische Details?

Man kann die Sonos und Bose Lautsprecher über Shodan finden. Mich interessiert mit welchen Parametern ich suchen muss.

/Edit:

But the researchers warn that anyone with a compromised device on their home network, or who has opened up their network to provide direct access to a server they're running to the external internet—say, to host a game server or share files—has potentially left their fancy speakers vulnerable to an epic aural prank.

Quelle: Wired

--> Aha! Also benötigt man in seinem Netzwerk ein infiziertes Gerät, welches am Router Ports öffnet. Also alles halb so wild.
Wenn meine Firewall alle Ports öffnet, kann man theoretisch alle Geräte in meinem LAN angreifen. Der Unterschied ist bei Sonos und Bose Boxen: Musik Abspielen kann man über die API ohne Authentifizierung!


/edit2:

Hier der Original Artikel von Trend Micro mit den technischen Details

Die schauen, ob Geräte auf Port 1400 antworten. Also muss der heimische Router den Port 1400 erstmal nach außen öffnen. Sowas muss man erstmal explizit in der Firewall freigeben. Von alleine passiert das nicht. Sonos oder Bose Boxen benötigen keinen offnen Port 1400 nach draußen und schalten den auch nicht selbst (z.B. per UPNP) am Router frei. Es kann z.b. duch ein infiziertes Drittgerät durchgeführt werden. Dieses Gerät muss aber auch die Login Daten des Routers kennen.

Es müssen schon mehrere Umstände eintreffen, dass jemand fremdes Musik über meine Sonos Boxen abspielen kann.

 

[poly123]

Gibt es Infos darüber was genau falsch konfiguriert worden ist?

Mit Sicherheit von den Benutzern fälschlicherweise entweder Port forwarding eingerichtet oder als direkt aus dem Internet adressierbares Gerät (DMZ) konfiguriert worden.

Edit: Video

 

[Thomaswww]

Es muss Port 1400 offen sein. Geöffnet zb. per upnp von einem infiziertem Gerät im LAN.

 

[Vindoriel]

Traurig, dass in der News nicht zu lesen ist, was nun der Fehler ist und wie man dem vorbeugt.