Kühlschränke, die sich melden, wenn die Milch alle ist oder Thermostate, die Nutzungsstatistiken aufs Smartphone senden – verschiedenste Produkte werden mittlerweile mit einer Netzwerkverbindung ausgestattet. Diese bringen viele Sicherheitslücken mit sich.Zwar bemühen sich Hersteller um Verbesserungen, jedoch zeigen sich neue Bedrohungen wie die Kompromittierung von Anmeldeinformationen durch Schwachstellen in Web- und Mobilapplikationen bestimmter IoT-Devices. Gestohlene Anmeldedaten ermöglichen es Angreifern, sich z.B. den Videofeed einer IoT-Überwachungskamera anzeigen zu lassen, Alarme zu setzen, zu empfangen oder zu löschen, gespeicherte Videoclips aus dem Cloud-Storage zu entfernen sowie Kontoinformationen auszulesen. Des Weiteren können Kriminelle die Anmeldedaten auch dazu nutzen, um ihr eigenes Firmwareupdate auf das IoT-Gerät zu übertragen, seine Funktionalität zu ändern und mit dem kompromittierten Gerät andere Geräte im selben Netzwerk anzugreifen. Um diese Bedrohung zu veranschaulichen, hat das Sicherheitsteam von Barracuda eine IoT-Überwachungskamera untersucht und eine Vielzahl von Schwachstellen in der Webapplikation sowie dem Ökosystem der mobilen Anwendungen der Kamera identifiziert. Dazu zählen unter anderem die Dateiübertragung in einen Cloud-Server, nicht signierte Geräteupdates und Cross-Site Scripting (XSS) in der Webapplikation. Mithilfe dieser Schwachstellen konnte das Barracuda-Sicherheitsteam zwei Angriffsarten durchführen, um Anmeldeinformationen abzugreifen und das IoT-Gerät zu kompromittieren und das ohne direkte Verbindung zum Gerät selbst. Diese Art Bedrohung kann verschiedenste IoT-Devices betreffen. Mit der Verlagerung des Zugriffs sowie der Zugriffskontrollen für IoT-Geräte auf Cloud-Dienste sind neue Schwachstellen und Angriffsvarianten hinzugekommen. So steht und fällt die Sicherheit des IoT nicht nur mit den Sicherheitsvorkehrungen für die Geräte selbst, sondern mit der Entwicklung und genauen Schwachstellenanalyse von Prozessen.