Shelly-Schwachstelle gefährdet Millionen von Smart-Home-Türen
-
-
Lokalisiert von
Paul Pauli
-
Die Schwachstelle in Gen-4-Shelly-Geräten lässt WLAN-Setup-Zugangspunkte (APs) nach der Installation offen, wodurch Angreifer Türen, Garagen und Tore kontrollieren oder in Heimnetzwerke eindringen können.
-
5,2 Millionen Haushalte nutzen weltweit Shelly-Geräte. Tausende verwundbare Netzwerke wurden europaweit dokumentiert, einige davon mit der Bezeichnung „Garage“.
-
Shelly sagt, es handle sich um eine beabsichtigte Funktion, nicht um eine Schwachstelle. Das Unternehmen gibt an, Nutzer müssten während der Einrichtung mehrere Warnungen aktiv ignorieren, damit der AP offen bleibt.
-
Ein Firmware-Update in der kommenden Woche soll ungesicherte APs nach 15 Minuten automatisch deaktivieren. Bis dahin sollten Nutzer ihn manuell in den Einstellungen deaktivieren.
Sicherheitsforscher haben eine Schwachstelle bei einer neuen Generation von Smart-Home-Geräten entdeckt. Personen in der Nähe des Hauses könnten Türen, Garagen oder Einfahrten über das WLAN öffnen.
Mitarbeiter von Pen Test Partners haben herausgefunden, dass bei Geräten der vierten Generation der Marke Shelly nach der Installation in einem Smart-Home-WLAN ein Zugangspunkt (AP) aktiv bleibt.
Die Schwachstelle existierte bei früheren Shelly-Modellen nicht, da diese das Netzwerk nach der Einrichtung automatisch deaktivierten.
Die Schwachstelle wurde entdeckt, als eines der vielen Shelly-Geräte im Zuhause des Sicherheitsforschers Alan Monie von Pen Test Partners nach fünf Jahren den Dienst versagte. Er ersetzte es durch eines der neuen Shelly-1-Geräte der vierten Generation.
Während des Verbindens mit seinem WLAN und der Firmware-Aktualisierung bemerkte Monie, dass das Gerät weiterhin das „Shelly“-Setup-WLAN neben seiner normalen Verbindung sendete, wodurch es effektiv zwei IP-Adressen und einen dauerhaften AP erhielt.
„Der einzige Hinweis darauf, dass bei Shelly auch ein AP verfügbar ist, befindet sich in der oberen Statusleiste. Dies könnte jedoch leicht übersehen werden“, schreibt er.
Wenn der AP des Geräts aktiviert und ungesichert bleibt, könnte sich jemand in WLAN-Reichweite verbinden und Befehle an das Gerät senden.
In weniger ernsten Fällen könnte jemand versuchen, Lichter ein- oder auszuschalten. Viele Nutzer setzen ihre Shelly-Einheiten jedoch zur Steuerung von Garagentoren, Toren und Eingängen ein, was bedeutet, dass eine einzige nicht authentifizierte Anfrage ein Relais auslösen und das Haus für Unbefugte öffnen könnte.
„Ein Angreifer könnte das Gerät so einstellen, dass es sich im Sekundentakt ein- und ausschaltet, was Schäden am Gerät verursachen könnte“, sagt Monie.
Übergriff auf andere IoT-Geräte
Der Sicherheitsforscher warnte darüber hinaus vor weiteren Gefahren. Sobald eine Verbindung zum Gen-4-Gerät hergestellt ist, könnte ein Angreifer modifizierte Firmware hochladen, Aktivitäten überwachen oder tiefer in das Heimnetzwerk vordringen.
„Ein Problem, das häufig übersehen wird, ist, dass kompromittierte Geräte meist auch mit anderen drahtlosen Netzwerken verbunden sind. Das ermöglicht es Angreifern, von einem Gerät auf andere Geräte in einem völlig anderen Netzwerk überzuspringen.“
Alan Monie, Forscher bei Pen Test Partners
Tests zeigten, dass kompromittierte Einheiten Befehle an ältere Shelly-Geräte im selben Netzwerk senden und potenziell mit Nicht-Shelly-Systemen interagieren könnten. Grund ist eine Schwäche bei der Transport Layer Security (TLS)-Verarbeitung in früheren Controllern.
Da APs öffentlich sichtbar bleiben, können sie zudem in großem Umfang entdeckt werden.
Um dies zu beweisen, nutzte ein anderer Forscher des Teams die WLAN-Kartierungsplattform wigle.net, um Tausende von Shelly-Netzwerken in ganz Europa zu lokalisieren, einige mit offensichtlichen Kennzeichnungen wie „Garage“.
Was die Standortverfolgung betrifft, behauptete das Forschungsteam, sie konnten „bis zur Hausnummer genau“ vordringen.
Das in Bulgarien ansässige Unternehmen Shelly ist weltweit tätig und betreibt Niederlassungen in Deutschland, Slowenien, China und den USA. Seine Produkte werden in mehr als 5,2 Millionen Haushalten eingesetzt.
Während die Produkte der Firma weniger verbreitet sind als Amazon, Google oder Philips, sind sie in der DIY-Smart-Home- und Installateur-Community ziemlich beliebt, was Bedenken über die potenzielle Reichweite der Schwachstelle aufwirft.
Pen Test Partners meldete das Problem im Oktober 2025 an Shelly und wurde informiert, dass Firmware-Version 1.8.0 den AP außerhalb des Setup-Fensters deaktivieren würde.
Die Cybernews-Community diskutiert darüber. Sag uns deine Meinung.
Die Forscher sagen jedoch, sie hätten „keinen Zeitrahmen für die Veröffentlichung und keine Kundenwarnung erhalten, die Nutzer anweist, die Funktion manuell zu deaktivieren“.
Sicherheitsexperten sagen, die Lösung sei einfach: Besitzer können den AP in den Geräteeinstellungen deaktivieren, sobald die Installation abgeschlossen ist (der Bericht zeigt, wie).
Aber ohne klare Kommunikation könnten viele Nutzer das Risiko nicht erkennen, besonders jene, die mit älteren Shelly-Modellen vertraut sind.
Die Forscher sagen, sie hätten die Warnung „nach mehr als 90 Tagen ohne angemessene Reaktion“ von Shelly veröffentlicht und verwiesen auf die Notwendigkeit, Nutzer zu schützen.
In einer nach der Veröffentlichung an Cybernews herausgegebenen Stellungnahme sagte Shelly, das AP-Verhalten sei eine beabsichtigte Installationsfunktion und keine Schwachstelle und erfordere, dass sich jemand physisch in WLAN-Reichweite befinde.
Das Unternehmen fügte hinzu, Nutzer würden während der manuellen Einrichtung gewarnt, wenn der AP ungesichert bleibe. Geräte, die über die Smart Control App konfiguriert würden, ließen den
AP
absichtlich aktiv.
„Wir möchten ausdrücklich klarstellen, dass der Nutzer während des gesamten manuellen Konfigurationsprozesses wiederholt gewarnt wird, dass der Geräte-AP offen und ungesichert ist. Mehrere Warnmeldungen werden während der Einrichtung angezeigt und müssen absichtlich ignoriert werden, damit der AP zugänglich bleibt.“
Shelly Support Team
Shelly fügte hinzu, dass ein Firmware-Update, das nächste Woche ausgerollt werden soll, ungesicherte APs nach 15 Minuten automatisch deaktivieren und verhindern wird, dass sie neu starten, sobald das Gerät mit einem Heimnetzwerk verbunden ist.
„Nächste Woche werden wir ein Firmware-Update veröffentlichen, das einen automatischen Schutzmechanismus einführt.“
- Wenn kein Passwort konfiguriert ist, wird der Geräte-AP nach 15 Minuten automatisch deaktiviert
- Wenn das Gerät WLAN-Zugangsdaten konfiguriert hat, startet der AP nach einem Neustart nicht wieder, es sei denn, der Kunde führt ein Werksreset oder Netzwerkreset durch
„Dieses Update stärkt die Sicherheit und bewahrt gleichzeitig den praktischen Installationsablauf, den sowohl Profis als auch fortgeschrittene Nutzer benötigen“, fügte das Support-Team hinzu.
Mit der wachsenden Verbreitung von Gen-4-IoT-Geräten, warnt Ken Munro, Gründer von Pen Test Partners, könnte ein einzelner falsch konfigurierter Smart-Schalter zu einem Tor nicht nur zum Heimnetzwerk, sondern auch zu seinen physischen Netzwerken werden.
Munro fügt hinzu, dass diese Probleme tendenziell entstehen, wenn Smart-Home-Anbieter „schnell ausliefern und Funktionen aufschichten“, wodurch unbeabsichtigt unsichere Standardeinstellungen und ‚bequeme' Konfigurationspfade entstehen, die zu einer häufigen Problemklasse führen.
„Im Fall von Shelly Gen4 ist das Problem nicht nur der anfängliche Setup-Zugriff, sondern was er ermöglicht. Wenn ein Gerät einen offenen Setup-AP freigibt, kann ein Angreifer in der Nähe Fuß fassen. Von dort aus besteht das eigentliche Risiko in der lateralen Bewegung.“
Ken Munro, Gründer von Pen Test Partners
„Sicher-als-Standard muss bedeuten, Setup-Schnittstellen automatisch zu schließen, Authentifizierung bei lokalen Kontrollpfaden durchzusetzen und sich nicht darauf zu verlassen, dass Hausbesitzer durch Einstellungen jagen müssen, um ein Produkt sicher zu machen“, fügte er hinzu.
Entdecke exklusive Cybernews-Inhalte auf YouTube.