Josh Hendrickson/Review GeekNoch vor wenigen Jahren gehörte Nexx zu den beliebtesten Marken für intelligente Garagensteuerungen. Aber die Dinge haben sich geändert. Nexx erhält heutzutage nicht viel Aufmerksamkeit. Und aufgrund neu entdeckter Sicherheitslücken sollten verbleibende Kunden ihre Nexx-Geräte vom Stromnetz trennen und eine andere Marke in Betracht ziehen.
Der Sicherheitsforscher Sam Sabetan deckte „eine Reihe kritischer Sicherheitslücken“ auf. das betrifft alle Nexx Smart Home Produkte (Garagentoröffner, smarte Steckdosen – alles). Diese Schwachstellen, denen bereits CVEs zugewiesen wurden, sind das Ergebnis einer umfassenden Sicherheitsüberprüfung in der MQTT-Implementierung von Nexx. Jedes Nexx-Gerät verwendet dasselbe Passwort, um sich mit den Cloud-Servern von Nexx zu verbinden.
Was noch schlimmer ist, dieses Passwort ist in der Nexx-App-API frei verfügbar (und es wurde online veröffentlicht). Jeder kann dieses Passwort verwenden, um ein intelligentes Nexx-Produkt fernzusteuern. Wenn Ihr Garagentor also über Nexx gesteuert wird, seien Sie nicht überrascht, wenn es anfängt, sich willkürlich zu öffnen und zu schließen.
Wenn ein Hacker die MQTT-Schwachstelle von Nexx in vollem Umfang ausnutzt, sie können die persönlichen Daten aller Nexx-Kontoinhaber abrufen. Zu diesen personenbezogenen Daten gehören Geräte-IDs, Vornamen und E-Mail-Adressen. Daher ist es für Hacker sehr einfach, auf bestimmte Personen abzuzielen.
“Nexx hat auf keine Korrespondenz von mir, dem DHS (CISA und US-CERT) oder der VICE Media Group geantwortet. Ich habe unabhängig bestätigt, dass Nexx alle unsere Versuche, bei der Behebung zu helfen, absichtlich ignoriert hat und diese kritischen Fehler weiterhin seine Kunden beeinträchtigen ließ.” – Sam Sabetan
Nexx hätte diese Schwachstelle selbst erkennen müssen. Aber was noch wichtiger ist, es hätte auf E-Mails von Sabetan, Homeland Security und VICE antworten sollen. Das Unternehmen hat bewusst auf Korrespondenz verzichtet, daher sollten alle verbleibenden Nexx-Kunden einen Wechsel zu einer neuen Marke in Betracht ziehen. (Für das, was es wert ist, ist die Social-Media-Präsenz von Nexx seit 2020 praktisch nicht mehr vorhanden, und Sabetan stellte fest, dass das Unternehmen nur etwa 20.000 aktive Benutzer hat. Nexx scheint nicht dabei zu sein gute Gesundheit.)
VERWANDTEWarum Review Geek Can Wyze oder eufy Cameras nicht mehr empfehlen
Auch wenn diese Probleme gelöst sind, Review Geek kann kein Smart-Home-Unternehmen empfehlen, das die Privatsphäre, Sicherheit und den Schutz seiner Kunden absichtlich vernachlässigt. Wir haben die gesamte frühere Berichterstattung über Nexx (von der es sehr wenige gibt) überarbeitet, um die heutige Geschichte anzugehen.
Nexx hat keine Antwort auf diese Geschichte veröffentlicht. Wir haben das Unternehmen um eine Stellungnahme gebeten. Sie können den vollständigen Sicherheitsbericht von Sam Sabetan auf Medium lesen.
Quelle: Sam Sabetan