Bitdefender nutze ich auch.
Ob der Scan aussagekräftig ist?
Was für ein Shelly wäre das und gibt es mehre?
Also Shelly 1, einer von x..
Bei mehreren gleichen Shellys wäre das "komisch"
heute wurde durch den "Bitdefender Home Scanner" bei einem von mehreren Shellys eine Schwachstelle entdeckt (s. Bilder).
Der Bitdefender hat mit einer sehr hohen Wahrscheinlichkeit keine echte Schwachstelle entdeckt sondern ist bei seinem Scan über etwas gestolpert, was so ähnlich wie ein durchgeknallter Elephant mit einer Schrotflinte im Rüssel und einer Flak auf dem Sattel aussieht - aber in Wirklichkeit nur die Blumenvase mit Gänseblümchen am Küchenfenster ist.
Ohne Screenshot dessen, was sich hinter den "weiter >" Pfeilen des zweiten Bildes verbirgt ist eine Fernanalyse schwer.
Aber erstmal würde ich von einem Fehlalarm ausgehen der Dir als Anwender zeigt, dass Bitefender mehr potentielle potentielle Bedrohungen anzeigt als die AV-Lösungen anderer Hersteller (die unter Umständen so einen Quatsch nicht reporten würden).
Bernd
ein durchgeknallter Elephant mit einer Schrotflinte im Rüssel und einer Flak auf dem Sattel aussieht - aber in Wirklichkeit nur die Blumenvase mit Gänseblümchen am Küchenfenster ist.
Bernd
Was für ein geiler Spruch ,noch nie gehört 
Habt ihr eine Idee, woran das liegen könnte?
Jetzt hab ich doch mal nachgewühlt. Auf den Shellies läuft der Webserver "Moongoose" (vermutlich durchgehend) in Version 6.18) von der irischen Firma Cesanta. Moongoose setzt auf der "Mongoose Embedded Library" auf und das Gesamtpaket hat so die eine oder andere Sicherheitslücke in verschiedenen Teilpaketen. Was von den Libraries tatsächlich in den bei den Shellies verwendeten Webservern einkompiliert ist (TLS für HTTPS schonmal nicht), wissen nur die Entwickler-Götter.
Was da alles gefunden wurde, kann man hier nachschauen.
Der Bitdefender ist wohl über CVE-2020-25756 gestolpert, da hat jemand mit einem Sourcecode-Analysetool einen potentiellen Bufferoverflow entdeckt der aber in der Praxis nicht auftritt weil der zulässige Bereich woanders geprüft wird (siehe den zugehörigen Bugreport).
Grundsätzlich würde ich diese IoT Geräte nie ins Internet freigeben und höchstens mit der UI der Hausautomatisierungs von aussen was machen.
Bernd
