Abo
  • Services:

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Artikel veröffentlicht am , Hanno Böck
Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

Immer mehr Gerätehersteller machen offenbar bei der Implementierung von kryptographischen Services einen gravierenden Fehler: Statt Schlüssel für SSH- und TLS-Verbindungen individuell auf jedem Gerät erzeugen zu lassen, liefern sie die kryptographischen Schlüssel gleich in der Firmware mit. Die Sicherheit ist damit dahin, denn die Firmware ist öffentlich. Jeder kann sich von dort die privaten Schlüssel holen.

40 Prozent mehr Default-Keys

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Im November 2015 veröffentlichte die Firma SEC Consult eine Untersuchung zu diesem Problem. Es gelang den Sicherheitsforschern, die privaten Schlüssel von zahlreichen Geräten 50 verschiedener Hersteller zu extrahieren. Jetzt veröffentlichte SEC Consult ein Update - und die Situation hat sich offenbar massiv verschlimmert. Die Zahl der Geräte, zu denen die Forscher einen passenden privaten Schlüssel haben, ist um 40 Prozent gestiegen.

Zwei besonders absurde Fälle werden ausführlicher beschrieben. Bei Geräten der Firma Ubiquiti Networks gab es offenbar einen gegenteiligen Trend: Die Zahl der Geräte mit gleichem Schlüssel, die über das Internet erreichbar sind, ist um etwa 60 Prozent gesunken. Allerdings liegt das offenbar vor allem daran, dass viele Ubiquiti-Geräte aufgrund von Sicherheitslücken mit Malware infiziert wurden. Das hat wohl dazu geführt, dass viele Besitzer dieser Geräte sie vom Netz genommen haben.

Ein Zertifikat, das in Geräten der Firmen Alcatel-Lucent und Aruba zum Einsatz kam, enthält eine gültige Signatur der Zertifizierungsstelle Geotrust. Insgesamt knapp 50.000 Geräte mit diesem Zertifikat und Key sind über das Internet erreichbar. Aruba sieht offenbar keinen Anlass, das entsprechende Zertifikat zurückzuziehen. SEC Consult zitiert ein Statement von Aruba: Das Unternehmen sei überzeugt worden, dass Zertifikate zu kompliziert seien. Es habe sich daher dafür entschieden, ein Default-Zertifikat einzusetzen.

Einige ältere AVM-Geräte betroffen

Als wir im vergangenen Jahr über die Ergebnisse von SEC Consult berichtet hatten, haben mehrere Leser nachgefragt, wie es mit Geräten der deutschen Firma AVM aussieht. Golem.de hat daraufhin selbst einige Firmwares von AVM-Geräten analysiert. In mehreren Geräten fanden wir private Schlüssel, allerdings waren die meisten durch ein Passwort geschützt. Durch eine detailierte Analyse der Firmware wäre es vermutlich möglich, das Passwort zu extrahieren. In einem Fall gelang es uns, mittels des Tools John The Ripper an das Passwort zu gelangen - es lautete schlicht "fritzbox". Mittels Daten des Censys-Projekts fanden sich über 2.000 Zertifikate mit diesem privaten Schlüssel.

Der gefundene private Schlüssel fand sich in den Firmwares der Geräte FritzBox Fon 5010, Fon WLAN Annex A und Fon WLAN Annex B. AVM erklärte auf Anfrage, dass diese Geräte seit längerem nicht mehr im Handel sind und teilweise nur über OEMs in geringen Stückzahlen verkauft wurden.

Keys sind jetzt für jeden verfügbar

SEC Consult hat alle gefundenen Zertifikate und privaten Schlüssel inzwischen auf Github veröffentlicht. Auch wir haben die von uns gefundenen Keys von AVM-Geräten öffentlich gemacht.

Einmal mehr zeigt sich, dass offenbar im Bereich der Embedded-Geräte grundlegende Sicherheitsmaßnahmen ignoriert werden. SEC Consult empfielt, dass alle derartigen Geräte eigene Keys erzeugen sollten - entweder während der Herstellung oder beim ersten Booten. Letzteres ist aus kryptographischer Sicht zu bevorzugen, da der Hersteller dann selbst keine Möglichkeit hat, an den privaten Schlüssel zu gelangen.



Anzeige
Top-Angebote
  1. (u. a. Acer XB271 WQHD 144 Hz für 499€ und Kingston HyperX Cloud II für 65€)
  2. 38,90€ + Versand (Bestpreis!)
  3. (u. a. Sharkoon Skiller SGK4 für 19,99€ + Versand und Sharkoon SilentStorm Icewind Black 750 W...

Folgen Sie uns
       


Nuraphone Kopfhörer- Test

Der Nuraphone bietet einen automatischen Hörtest, der den Frequenzgang des Kopfhörers je nach Nutzer unterschiedlich einstellt. Die Klangqualität des ungewöhnlichen Kopfhörers hat Golem.de im Test überzeugt.

Nuraphone Kopfhörer- Test Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /