{"id":116987,"date":"2017-12-28T14:49:48","date_gmt":"2017-12-28T13:49:48","guid":{"rendered":"https:\/\/www.ifun.de\/?p=116987"},"modified":"2017-12-28T14:49:48","modified_gmt":"2017-12-28T13:49:48","slug":"security-forscher-sonos-lautsprecher-opfer-gezielter-angriffe","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/security-forscher-sonos-lautsprecher-opfer-gezielter-angriffe-116987\/","title":{"rendered":"Security-Forscher: Sonos-Lautsprecher Opfer gezielter Angriffe"},"content":{"rendered":"<p>Sonos-Lautsprecher sind in etwa so sicher wie das WLAN, in das die Multiroom-Speaker eingebunden wurden. Seid ihr in einem Netz eingebucht, in dem auch Sonos-Lautsprecher funken, k\u00f6nnt ihr diese nach Belieben steuern. <\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-internet.jpg\"><img decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-internet.jpg\" alt=\"Sonos Internet\" width=\"500\" class=\"aligncenter size-full wp-image-116988\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-internet.jpg 1000w, https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-internet-300x218.jpg 300w, https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-internet-768x558.jpg 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n<p>Eine Authentifizierung bzw. die Abfrage von Nutzernamen und Passw\u00f6rtern kennen die Lautsprecher nicht. L\u00e4sst euch euer Zahnarzt in Praxis-WLAN, um euch so die Wartezeit zu verk\u00fcrzen, k\u00f6nnt ihr die Sonos-Lautsprecher am Empfang einfach ansteuern und eure Wunschmusik abspielen.<\/p>\n<p>Dies erleichtert den Betrieb der smarten Speaker in Wohngemeinschaften und geteilten B\u00fcros ungemein, kann unter Umst\u00e4nden jedoch auch zu unsch\u00f6nen Nebeneffekten f\u00fchren. <\/p>\n<p>So machen die Security-Forscher von Trend Micro <a href=\"http:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/iot-devices-need-better-builtin-security\/\">aktuell darauf aufmerksam<\/a>, dass zahlreiche Sonos-Lautsprecher hinter schlecht konfigurierten Routern arbeiten und mit etwas Zeiteinsatz auch \u00fcber das Internet angesteuert, aktiviert und fernbedient werden k\u00f6nnen. <\/p>\n<p><div class=\"responsive-video\"><iframe loading=\"lazy\" width=\"700\" height=\"371\" src=\"https:\/\/www.youtube-nocookie.com\/embed\/sSIIEgZrfus\" frameborder=\"0\" allowfullscreen><\/iframe><\/div><\/p>\n<p>Nach einem einfachen Portscan h\u00e4tte man abertausende Sonos-Lautsprecher in Europa und den USA ausgemacht, die man einfach h\u00e4tte kontrollieren k\u00f6nnen. Zudem sei es m\u00f6glich gewesen die E-Mail-Adresse der registrierten Sonos-Nutzer aus den Lautsprechern auszulesen. <\/p>\n<p>Die knapp 50 Seiten lange Fallstudie &#8222;The Sound of a Targeted Attack&#8220; k\u00f6nnt ihr hier <a href=\"https:\/\/documents.trendmicro.com\/assets\/pdf\/The-Sound-of-a-Targeted-Attack.pdf\">als PDF-Datei laden<\/a>. Nach Angaben des Trend Micro-Teams h\u00e4tte Sonos schnell auf die Kritik der Security-Spezialisten reagiert und zumindest den Zugriff auf die Konfigurationsoberfl\u00e4che \u00fcber das Internet unterbunden. <\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update.jpg\" alt=\"Sonos Update\" width=\"1158\" height=\"566\" class=\"aligncenter size-full wp-image-116989\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update.jpg 1158w, https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update-300x147.jpg 300w, https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update-768x375.jpg 768w, https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update-1024x501.jpg 1024w\" sizes=\"auto, (max-width: 1158px) 100vw, 1158px\" \/><\/a><\/p>\n<p>Zudem merkt Trend Micro an, dass das geschilderte Angriffs-Szenarien &#8211; Dritte k\u00f6nnten die Musikvorlieben von Sonos-Nutzern studieren und diesen gezielte Phishings-Mails schreiben bzw. akustische Update-Meldungen einspielen und per E-Mails schadhafte Dateien verteilen &#8211; nur selten von Dritten ausgenutzt werden d\u00fcrfte.  <\/p>\n<blockquote><p>With the popularity of IoT devices growing every day, it is very important to be knowledgeable of the built-in security of these devices that ultimately could affect the owner and make them a target of an attack. [&#8230;] With the Sonos, this was the case with the unauthenticated SOAP XML interface, and the web interface that leads to the information leakage. While these devices are never supposed to be exposed on the internet, we have shown that they can and will  nd their way directly on the internet. We believe that the manufacturers should do whatever they can to make sure that their devices are secured enough that if it is placed on the internet, the likelihood of attack is really low.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/security-forscher-sonos-lautsprecher-opfer-gezielter-angriffe-116987\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/sonos-update-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Sonos Update\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Sonos-Lautsprecher sind in etwa so sicher wie das WLAN, in das die Multiroom-Speaker eingebunden wurden. Seid ihr in einem Netz eingebucht, in dem auch Sonos-Lautsprecher funken, k\u00f6nnt ihr diese nach Belieben steuern. Eine Authentifizierung bzw. die Abfrage von Nutzernamen und Passw\u00f6rtern kennen die Lautsprecher nicht. L\u00e4sst euch euer Zahnarzt in Praxis-WLAN, um euch so die [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":116989,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[88,92,1068],"class_list":["post-116987","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-security","tag-sicherheit","tag-sonos"],"acf":[],"aioseo_notices":[],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/10\/sonos-one-speaker.jpg"],"subheadline":["Auch \u00fcber das Internet steuerbar"],"rest_api_enabler":{"featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/10\/sonos-one-speaker.jpg","subheadline":"Auch \u00fcber das Internet steuerbar"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/116987","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=116987"}],"version-history":[{"count":1,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/116987\/revisions"}],"predecessor-version":[{"id":116990,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/116987\/revisions\/116990"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/116989"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=116987"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=116987"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=116987"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}