Abo
  • Services:
Anzeige
Angela Merkel inspiziert das Modell eines Smarthomes auf der Cebit 2007.
Angela Merkel inspiziert das Modell eines Smarthomes auf der Cebit 2007. (Bild: John Macdougall/AFP/Getty Images)

Schwachstellen in der Firmware

Die Komponenten für vernetzte Geräte sollen möglichst günstig sein. In Serie von einem einzigen Hersteller fabriziert, werden sie in Tausenden oder sogar Millionen von Geräten eingesetzt. Und sie müssen mit entsprechender Firmware ausgestattet werden. Das jüngste Beispiel BadUSB hat gezeigt, wie wenige Hersteller solche Chips vor dem Aufspielen manipulierter Firmware schützen. Eine ausreichende Sicherheitsimplementierung fehlt oftmals, wie auch das Beispiel der Wemo-Geräte von Belkin zeigte.

Anzeige

Im Januar 2014 gab es ein Firmware-Update, das "SSL-Verschlüsselung und eine Verifizierung zu der Infrastruktur für Firmware-Updates hinzufügte." Dabei wurde der zuvor auf den Geräten gespeicherte Schlüssel überflüssig, wie das Unternehmen schreibt. Offenbar war dieser wichtige Schlüssel zuvor in der Firmware abgelegt worden und konnte einfach über die serielle Schnittstelle ausgelesen werden, die Belkin ebenfalls mit dem Update mit einer Passwortabfrage absicherte. Das Problem ist oftmals, dass solche Schlüssel nicht nur für ein Gerät vergeben, sondern für eine gesamte Infrastruktur genutzt werden. Ein Angreifer hätte also einen solchen Schlüssel nur auf einem Gerät auslesen können und so Tausende andere manipulieren können.

Auslesbare Passwörter und offene Telnet-Zugänge

Dass Hersteller nicht immer die Firmware überprüfen, die ihnen zur Verfügung gestellt wird oder selbst Fehler dort einbauen, zeigten vier Forscher von der französischen Universität Institut Eurécom auf. In etwa 101.000 Geräten hatten sie nach eigenen Angaben SSH-Schlüssel und Zugangsdaten für Administratoren entdeckt. In weiteren 2.000 fanden sie hartcodierte Telnet-Zugänge. In 681 unterschiedlichen Firmware-Dateien von 27 Herstellern haben die Forscher in den Verzeichnissen /etc/passwd und /etc/shadow eindeutige Passwort-Hashes entdeckt, von denen sie 58 Passwörter auslesen konnten. Bei einigen habe es gar kein Passwort gegeben, bei anderen habe es sich um einfache Passwörter wie "pass", "logout" oder "helpme" gehandelt.

Auch die Forscher kommen zu dem Schluss, dass viele der Schwachstellen beispielsweise eine gemeinsame Quelle haben, etwa einen Fehler in der SDK oder in anderen Werkzeugen von Softwareherstellern, die ihre Produkte dann unter einem anderen Namen an weitere Hardwarehersteller lizenzieren. Sie entdeckten den gleichen Fehler in völlig verschiedenen Überwachungskameras, deren Firmware in leicht veränderter Form von einem einzigen Unternehmen erstellt wurde. Angreifer hingegen könnten aufgrund eines einzigen gefundenen Fehlers mehrere Geräte angreifen, resümieren die Forscher.

 Es könnte Tote gebenRouter sind die Tore zum Smarthome 

eye home zur Startseite
Leichse 09. Jan 2015

Also, ich kann 30 Sekunden, nachdem ich den Topf runterziehe auf meine Herdplatte...

baz 21. Dez 2014

APPs gibt es wie Sand am Meer, da wirst du immer eine passende finden. Ich persönlich...

Donnergurgler 18. Dez 2014

Denkt man mal an körperlich beeinträchtigte Menschen, die froh sind, wenn sie alles...

Garius 16. Dez 2014

Dein Post wiederum zeigt mal wieder wunderbar, wie wenig die Leute in der Lage sind...

baz 16. Dez 2014

Dummerweiße wohne ich in einer Wohnung. Sprich sie wäre bloß in das Treppenhaus gekommen...



Anzeige

Stellenmarkt
  1. über 3C - Career Consulting Company GmbH, deutschlandweit (Home-Office)
  2. Digital Performance GmbH, Berlin
  3. Landeshauptstadt München, München
  4. Imago Design GmbH, Gilching


Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Gigabyte-Mainboards
  2. 379,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Wichtige Anwendungen von automatisierter Inventarisierung
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  2. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  3. Raumfahrt

    Europa bleibt im All

  4. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  5. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  6. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  7. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  8. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  9. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  10. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Port umlenken

    hle.ogr | 16:49

  2. Re: Hätte man das Geld doch bloß für was...

    HorkheimerAnders | 16:43

  3. Re: Notwehr

    M.P. | 16:39

  4. Re: hä? gericht wieder einmal weltfremd?

    lear | 16:31

  5. Re: Transparenz zum Kündigungstermin ist Schwachsinn!

    Cok3.Zer0 | 16:26


  1. 15:33

  2. 14:43

  3. 13:37

  4. 11:12

  5. 09:02

  6. 18:27

  7. 18:01

  8. 17:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel