Ikea behebt zwei alte Schwachstellen im Trådfri-Beleuchtungssystem - teilweise
Ikea hat zwei Schwachstellen in seinem Trådfri-Beleuchtungssystem behoben - zumindest teilweise. Nutzt ein Angreifer die Sicherheitslücken aus, kann er dafür sorgen, dass sich die Lampen nicht mehr bedienen lassen.
Sicherheitsforschende von Synopsys haben über zwei Schwachstellen in den Trådfri-Leuchtmitteln von Ikea informiert. Die kalifornische Cybersecurity-Firma hatte die beiden zusammenhängenden Probleme bereits im Juni 2021 entdeckt und Ikea informiert. Das schwedische Möbelhaus behob die Lücken auch schon zwischen Februar und Juni dieses Jahres - zumindest teilweise. Publik gemacht haben die Unternehmen die Lücke jedoch erst jetzt.
Ein Angreifer könnte die Schwachstellen jeweils durch einen fehlerhaften Zigbee-Frame (IEEE 802.15.4) ausnutzen. Der fehlerhafte Frame ist eine nicht authentifizierte Broadcast-Nachricht, wie Synopsys erklärt. Das heisse, dass alle anfälligen Geräte in Funkreichweite betroffen seien.
Leuchtmittel und Gateway betroffen
Bei der ersten Schwachstelle (CVE-2022-39064) lässt das Frame die Leuchtmittel blinken. Ausserdem kann das Frame bei wiederholter Eingabe die Leuchtmittel auch auf Werkseinstellungen zurücksetzen.
Nach dem Angriff leuchten sämtliche Leuchtmittel mit voller Helligkeit. Nutzer und Nutzerinnen können sie anschliessend weder mit der Ikea-Home-Smart-App noch mit der Trådfri-Fernbedienung ansteuern.
Die zweite Schwachstelle (CVE-2022-39065) funktioniert sehr ähnlich. Auch hier steht am Anfang wieder ein fehlerhafter Zigbee-Frame. Dieser führt dazu, dass das Trådfri-Gateway nicht mehr reagiert. Infolgedessen können Nutzerinnen und Nutzer die angeschlossenen Leuchtmittel nicht mehr über die Ikea-Home-Smart-App oder die Trådfri-Fernbedienung einstellen.
Problem teilweise gelöst
Ein Upgrade der Gateway-Software auf die Version 1.19.26 oder höher behebt dieses Problem. Die erste Sicherheitslücke ist bislang nur teilweise gestopft. In der Version V-2.3.091 seien die Probleme mit einen fehlerhaften Frames gelöst - aber nicht mit allen bekannten problematischen Frames.
Für Ikea war dies nicht das einzige Cyberproblem in 2021. Ende des vergangenen Jahres hatte das Unternehmen mit einer Cyberattacke zu kämpfen. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Malware-Kampagne zielt auf Windows und MacOS
Update: Die Leserwahl für den Master of Swiss Web 2026 ist eröffnet
So schleusen Angreifer Schadsoftware über gefälschte Rechnungen ein
38 Jahre Sicherheitsdenken
Android-Sicherheitslücke hebelt Displaysperre in unter einer Minute aus
Studie deckt massive Sicherheitsrisiken von KI-Agenten auf
Warum man besser nicht zum Klassentreffen geht
Glassworm greift mit unsichtbaren Unicode-Zeichen an
Pallaskatze George möchte Mia um ein Date bitten - aber erntet nur Fauchen
