Hersteller drangsaliert Sicherheitsforscher wegen schlechter Amazon-Rezension

5. Juli 2016, 18:17
25 Postings

Hatte schwere Mängel bei vernetzter Steckdose aus China gefunden und scharfe Kritik geübt

Das hatte sich der Hersteller AuYou vermutlich anders vorgestellt. Mit der Bitte um Bewertung einer vernetzten Steckdose hatte der chinesische Produzent dem Sicherheitsforscher Matthew Garrett eines seiner Modelle vergünstigt zugesandt. Doch dieser warf einen sehr genauen Blick auf das Gerät und fand erhebliche Mängel.

Während er in seiner Rezension die gute Verarbeitung des Gerätes lobt, begannen die Probleme schon bei der Einrichtung. Die App, mit der die Steckdose angesteuert werden kann, sucht nämlich nach einem Netzwerk, das nicht so heißt, wie jenes, welches das Gerät scannt. Dieses Problem konnte Garrett noch mit einiger Mühe beheben, doch in puncto Sicherheit stellte er dem Stromspender eine vernichtende Kritik aus.

Unverschlüsselte Kommunikation

Kommandos an das Gerät werden über einen chinesischen Server geschleust. Das wäre an sich nicht dramatisch, jedoch stellte sich heraus, dass der Datenverkehr nur so aussieht, als wäre er verschlüsselt, es aber tatsächlich nicht ist. Da der Server die Kommandos je nach Hardware-Adresse (MAC ID) weitergibt, würde es für einen Angreifer ausreichen, selbige zu kennen, um das Gerät aus der Ferne zu kontrollieren.

Laut Garrett gibt es keine Möglichkeit, ein Passwort zu setzen. Bei einer normalen Routereinstellung würden solche fremden Kommandos auch eintreffen. Um sich zu schützen, müsste man explizit per Firewall-Regel die IP des Servers blocken – womit man aber von außerhalb des eigenen WLANs nicht mehr auf die Steckdose zugreifen kann. Zudem wären viele Nutzer mit der Umsetzung einer solchen Maßnahme wohl überfordert.

Sein Fazit zur Bewertung mit einem aus fünf Sternen: "Standardmäßig ist [dieses Gerät] erstaunlich unsicher, es gibt keinen akzeptablen Weg, es abzusichern. Und wenn man es absichert, ist es viel weniger nützlich, als es sein sollte. Kauft es nicht."

Hersteller bat um Änderung und drohte dann

Doch das ist nicht das Ende der Geschichte, dokumentiert Techcrunch. Seit der Veröffentlichung seiner Bewertung hat er mehrfach E-Mails vom Hersteller erhalten. In einer Mail erklärt eine Vertreterin der Firma, ihr Chef hätte sie gerade für die schlechte Rezension verantwortlich gemacht und sie mit der Kündigung bedroht. Sie bat Garrett, dem Gerät ein gutes Urteil auszustellen.

Als dieser dem nicht Folge leistete, folgte eine Woche später eine weitere Bitte, diesmal um Löschung der Rezension. Schließlich wurde er damit bedroht, dass man ihn bei Amazon melden würde. Dazu behauptete man, andere Rezensenten hätten sich über seine Bewertung beschwert.

Artikel aus Angebot gelöscht

Garrett hat allerdings bereits einige Reviews hinterlassen, in denen er Geräten sicherheitstechnisch auf den Zahn fühlt. Ob AuYou sich letztlich wirklich an Amazon gewandt hat, ist nicht bekannt. Die vernetzte Steckdose wurde mittlerweile jedoch aus dem Angebot genommen. Der Onlinehändler hat in der Vergangenheit bereits Verkäufer gesperrt, die Rezensenten aufgrund ihrer Texte unter Druck gesetzt oder gar verklagt haben. (gpi, 05.07.2016)

  • Eine klassische und damit nicht über das Internet fernsteuerbare Steckdose.
    foto: derstandard.at

    Eine klassische und damit nicht über das Internet fernsteuerbare Steckdose.

Share if you care.