Abo
  • Services:
Anzeige
Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Immer mehr Gerätehersteller machen offenbar bei der Implementierung von kryptographischen Services einen gravierenden Fehler: Statt Schlüssel für SSH- und TLS-Verbindungen individuell auf jedem Gerät erzeugen zu lassen, liefern sie die kryptographischen Schlüssel gleich in der Firmware mit. Die Sicherheit ist damit dahin, denn die Firmware ist öffentlich. Jeder kann sich von dort die privaten Schlüssel holen.

Anzeige

40 Prozent mehr Default-Keys

Im November 2015 veröffentlichte die Firma SEC Consult eine Untersuchung zu diesem Problem. Es gelang den Sicherheitsforschern, die privaten Schlüssel von zahlreichen Geräten 50 verschiedener Hersteller zu extrahieren. Jetzt veröffentlichte SEC Consult ein Update - und die Situation hat sich offenbar massiv verschlimmert. Die Zahl der Geräte, zu denen die Forscher einen passenden privaten Schlüssel haben, ist um 40 Prozent gestiegen.

Zwei besonders absurde Fälle werden ausführlicher beschrieben. Bei Geräten der Firma Ubiquiti Networks gab es offenbar einen gegenteiligen Trend: Die Zahl der Geräte mit gleichem Schlüssel, die über das Internet erreichbar sind, ist um etwa 60 Prozent gesunken. Allerdings liegt das offenbar vor allem daran, dass viele Ubiquiti-Geräte aufgrund von Sicherheitslücken mit Malware infiziert wurden. Das hat wohl dazu geführt, dass viele Besitzer dieser Geräte sie vom Netz genommen haben.

Ein Zertifikat, das in Geräten der Firmen Alcatel-Lucent und Aruba zum Einsatz kam, enthält eine gültige Signatur der Zertifizierungsstelle Geotrust. Insgesamt knapp 50.000 Geräte mit diesem Zertifikat und Key sind über das Internet erreichbar. Aruba sieht offenbar keinen Anlass, das entsprechende Zertifikat zurückzuziehen. SEC Consult zitiert ein Statement von Aruba: Das Unternehmen sei überzeugt worden, dass Zertifikate zu kompliziert seien. Es habe sich daher dafür entschieden, ein Default-Zertifikat einzusetzen.

Einige ältere AVM-Geräte betroffen

Als wir im vergangenen Jahr über die Ergebnisse von SEC Consult berichtet hatten, haben mehrere Leser nachgefragt, wie es mit Geräten der deutschen Firma AVM aussieht. Golem.de hat daraufhin selbst einige Firmwares von AVM-Geräten analysiert. In mehreren Geräten fanden wir private Schlüssel, allerdings waren die meisten durch ein Passwort geschützt. Durch eine detailierte Analyse der Firmware wäre es vermutlich möglich, das Passwort zu extrahieren. In einem Fall gelang es uns, mittels des Tools John The Ripper an das Passwort zu gelangen - es lautete schlicht "fritzbox". Mittels Daten des Censys-Projekts fanden sich über 2.000 Zertifikate mit diesem privaten Schlüssel.

Der gefundene private Schlüssel fand sich in den Firmwares der Geräte FritzBox Fon 5010, Fon WLAN Annex A und Fon WLAN Annex B. AVM erklärte auf Anfrage, dass diese Geräte seit längerem nicht mehr im Handel sind und teilweise nur über OEMs in geringen Stückzahlen verkauft wurden.

Keys sind jetzt für jeden verfügbar

SEC Consult hat alle gefundenen Zertifikate und privaten Schlüssel inzwischen auf Github veröffentlicht. Auch wir haben die von uns gefundenen Keys von AVM-Geräten öffentlich gemacht.

Einmal mehr zeigt sich, dass offenbar im Bereich der Embedded-Geräte grundlegende Sicherheitsmaßnahmen ignoriert werden. SEC Consult empfielt, dass alle derartigen Geräte eigene Keys erzeugen sollten - entweder während der Herstellung oder beim ersten Booten. Letzteres ist aus kryptographischer Sicht zu bevorzugen, da der Hersteller dann selbst keine Möglichkeit hat, an den privaten Schlüssel zu gelangen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Teradata über ACADEMIC WORK, München
  2. Schlütersche Verlagsgesellschaft mbH & Co. KG, Hannover
  3. Stadtwerke München GmbH, München
  4. T-Systems International GmbH, Berlin, Wolfsburg


Anzeige
Top-Angebote
  1. 70,02€
  2. 99,90€ + 4,95€ Versand (Vergleichspreis 124€)
  3. 229,00€ zzgl. 5€ Versand (USK 18)

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Snap Spectacles im Test: Das Brillen-Spektakel für Snapchat-Fans
Snap Spectacles im Test
Das Brillen-Spektakel für Snapchat-Fans
  1. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  2. Snap Spectacles Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar
  3. Soziales Netzwerk Snapchat geht an die Börse - und Google profitiert

  1. Re: Top stabile Server Distro

    ArcherV | 00:27

  2. Re: Wie wärs mit öffentlichen Verkehrsmitteln?!

    Fotobar | 30.04. 23:51

  3. Re: Abgehoben

    theonlyone | 30.04. 23:31

  4. Re: 1 Dollar Gehalt

    theonlyone | 30.04. 23:24

  5. Re: Ähnlichkeit...

    User_x | 30.04. 23:12


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel