Angeblich schwere Sicherheitslücken bei Osram Lightify

Das Beleuchtungssystem Osram Lightify weist offenbar mehrere teils schwere Sicherheitslücken auf. Angreifer könnten einem Bericht des Sicherheitsdienstleisters Rapid7 zufolge nicht nur Zugriff auf die Lichtsteuerung erhalten, sondern auch das Kennwort des privaten WLAN-Netzes herausfinden.

Der vom IT-Magazin ZDNet zitierte Bericht schildert die Möglichkeit, Osram Lightify als Einfallstor und Basis für verschiedene Angriffsszenarien zu nutzen. Das Magazin hält sich mit Details allerdings weitgehend zurück.

The security firm said in an advisory that one of the worst flaws could allow an attacker to "take control of a product" in order to launch attacks against a browser by allowing the injection of persistent JavaScript and web-based HTML code into the web management interface.
That could lead to browser-based attacks against a user.
Another severe weakness in the smart home device allows an attacker to identify the wireless network's password. The devices use short, eight-character codes, which can be easily cracked within a matter of minutes or hours.

Bei Osram war für eine Stellungnahme niemand zu erreichen. Wir gehen zumindest davon aus, dass der Hersteller wenn nötig schnellstmöglich ein fehlerbehebendes Update veröffentlicht oder die Darstellung der Sicherheitsforscher korrigiert.