Abus-Funkalarmanlage über verwundbares Erweiterungsmodul abschaltbar

Forschern ist es bereits zum zweiten Mal gelungen, die unsichere Funkkommunikation einer Abus-Alarmanlage zu manipulieren. Sicherheitsupdates? Fehlanzeige.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge

Hier zeigen die Forscher ihr Equipment zum Fälschen von Nachrichten des Hybrid-Modul an die Anlage.

(Bild: youtube.com)

Von
  • Olivia von Westernhagen

Sicherheitsforscher von der SySS GmbH haben eine Schwachstelle im Hybrid-Modul FUMO50110 für Abus Secvest-Funkalarmanlagen gefunden. Sie fußt auf der unsicheren Funkkommunikation zwischen Modul und Anlage: Angreifer könnten sich mit geeignetem Equipment einklinken, um Nachrichten des Moduls an die Anlage zu fälschen. Sofern zusätzlich die "smarte" Zutrittskontrolle wAppLoxx von Abus über das Modul mit der Anlage gekoppelt wurde, ist es so möglich, den Alarm komplett abzuschalten.

Nachdem die Forscher den Hersteller nach eigenen Angaben bereits am 3. April dieses Jahres informiert hatten, dieser jedoch keine Anstalten gemacht habe, das Problem zu beseitigen, haben sie nun einen Sicherheitshinweis zur Schwachstelle CVE-2020-14158 veröffentlicht. Das Risikolevel bewerten sie als "hoch"; ein Workaround ist ihnen nicht bekannt.

Das Hybrid-Modul FUMO50110 dient nach Angaben auf der Website des Herstellers Abus zur Reichweitenerhöhung der Alarmanlage. Zudem lasse sich in Verbindung mit weiteren (Smart-Home-)Komponenten die zentrale Steuerung von Garagentor, Rolläden oder Beleuchtung realisieren – und, etwa mittels Abus wAppLoxx, auch ein elektronisches Zutrittsmanagement zum Gebäude.

Zum Aufspüren der aktuellen Schwachstelle nutzten die SySS-Forscher Michael Rüttgers und Thomas Detert unter anderem ein selbst geschriebenes Python-Tool. Es basiert auf dem Code eines ähnlichen Tools, mit dem Detert bereits im März 2019 auf drei Schwachstellen im Secvest-Modell FUAA50000 gestoßen war. Auch damals hatte eine schlecht gesicherte Funkverbindung die Basis für einen erfolgreichen Angriff gebildet:

Lesen Sie auch

Wie die Forscher in einem aktuellen Proof-of-Concept-Video erläutern, lauscht das Tool auf Statusnachrichten, die das Hybrid-Modul in regelmäßigen Intervallen an die Funkalarmanlage schickt. Auf Basis eines solchen entschlüsselten Pakets lasse sich eine gültige Funknachricht erzeugen, die die wAppLoxx-Zutrittskontrolle aushebelt: Beim unbefugten Betreten der Räumlichkeiten schlägt die Funkalarmalage nicht mehr an.

Der wAppLoxx-Schließzylinder bleibt vom Angriff allerdings unberührt, so dass sich potenzielle Angreifer immer noch anderweitig Zutritt zum Gebäude verschaffen müssen.

Auf die Nachfrage von heise Security, warum Abus die Schwachstelle nicht beseitigt habe, ging eine Presseprecherin des Unternehmens nicht ein. Man bedauere, dass es bei einem Produkt "derzeit zu Irritationen" komme.

Hinsichtlich der Risikoeinschätzung verwies sie auf ein aktuelles Statement des Prüfinstituts VdS, das unter anderem auch Abus-Alarmanlagen zertifiziere. Darin heißt es unter anderem: "Anforderungen müssen sich immer am Risiko orientieren. Im durchschnittlichen Privathaushalt sieht die Norm wie auch das VdS-Regelwerk naturgemäß ein niedrigeres Überwindungsrisiko als bei hochwertigem Gewerbe, wie z.B. Juweliere." Zudem sei "elektronische Überwachung nur als Ergänzung zu wirksamem mechanischen Einbruchschutz sinnvoll". Die Zertifizierung der ABUS-Anlage (nach VdS Home und EN Grad 2) sei "auf Basis gültiger Regelungen" erfolgt und habe somit weiterhin Gültigkeit.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Abus, so die Pressesprecherin, stehe "im ständigen Austausch mit Institutionen wie der Polizei oder dem VdS", um die eigenen Produkte "aktuellen Anforderungen hinsichtlich tatsächlich praktizierter Einbruchs-/Überwindungsmethoden" anzupassen. Daraus lässt sich wohl ableiten, dass die Anforderungen derzeit als erfüllt betrachtet werden und zumindest in näherer Zukunft kein Sicherheitsupdate zu erwarten ist.

(ovw)