• IT-Karriere:
  • Services:

Internet of Things: Fehler in Spülmaschine ermöglicht Zugriff auf Webserver

Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

Artikel veröffentlicht am ,
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Dass es vielleicht doch keine so besonderes gute Idee ist, sämtliche verfügbaren Elektrogeräte mit dem Internet zu verbinden, haben diverse Sicherheitslücken in Internet-of-Things-Geräten in der Vergangenheit immer wieder gezeigt. Die Liste unsicherer Geräte im Netz wird nun - wenn auch eher unfreiwillig - um einen Reinigungs- und Desinfektionsautomaten für Laborbedarf des Herstellers Miele erweitert.

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg
  2. cbs Corporate Business Solutions Unternehmensberatung GmbH, verschiedene Standorte

Denn laut dem Sicherheitsforscher Jens Regel des Beratungsunternehmens Schneider und Wulf ist der integrierte PST10-Webserver des Miele PG 8528 von einer relativ leicht nachvollziehbaren Sicherheitslücke betroffen: einem sogenannten Directory-Traversal-Bug. Dieser ermöglicht Angreifern den Zugriff auf beliebige Dateien des Rechners, auf dem der Webserver läuft.

Ein Angreifer könnte damit also Informationen erlangen, die dabei helfen, weiter in das System vorzudringen. Um die Lücke zu demonstrieren, veröffentlicht der Sicherheitsforscher Regel die Ausgabe der Datei /etc/shadow inklusive eines Teils des dort vorgehaltenen Shadow-Passworts für den Root-Nutzer.

Ethernet-Verbindung nur durch Miele-Support empfohlen

Laut Regel habe er seit Anfang November versucht, den Hersteller Miele zu kontaktieren und über die Sicherheitslücke zu informieren. Nachdem der Forscher die Lücke an Miele gemeldet hat, habe sich das Unternehmen jedoch nicht mehr gemeldet, auch nicht auf explizite Anfragen.

Miele hat nach ersten Medienberichten über die Lücke eine "Kommunikationspanne" eingeräumt und in einer Pressemitteilung Updates für seine Kunden in Aussicht gestellt. Darüber hinaus dankt das Unternehmen explizit dem Finder der Lücke. Ebenso möchte Miele überprüfen, warum nicht auf seine Hinweise reagiert worden ist, "um die Gefahr einer Wiederholung auszuschließen".

Dem Gerät liegt der Gebrauchsanweisung (PDF) zufolge ein fünf Meter langes Ethernet-Kabel bei, das laut Anweisung jedoch "nur durch den Miele-Kundendienst an eine andere Schnittstelle angeschlossen werden" darf. Schlimmstenfalls halten sich die Kunden aber eben nicht an diesen Hinweis und hängen das Gerät einfach in ihr eigenes Netz, ohne sich möglicher Gefahren bewusst zu sein.

Nachtrag vom 31. März 2017, 13:30 Uhr

Wir haben den Text um die Informationen von Miele ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Knives Out für 7,80€, Bloodshot für 6,80€, Le Mans 66 für 11,49€, The Avengers 4...
  2. (u. a. Samsung C49RG94SSU 49 Zoll Curved Gaming Monitor Dual WQHD 32:9 120Hz für 899€)
  3. (u. a. Palit GeForce RTX 3070 GameRock OC 8G für 749€, GIGABYTE GeForce RTX 3090 Eagle OC 24G...
  4. (u. a. 970 Evo Plus PCIe-SSD 500GB für 69,30€, T7 Touch Portable SSD 1TB für 137,99€)

Hugo21 28. Mär 2017

Das das Dinge gar kein "IoT" Gerät ist würde eine solche Zertifizierung gar nichts bringen.

Hugo21 28. Mär 2017

LAN ist sinnvoll, da flexibel und kostengünstig und jeder Laptop hat heute LAN, aber...

M.P. 28. Mär 2017

Kommt auf die Dramatik des "Abrauchens" an ... Jeder dritte Wohnungsbrand wird durch...

My1 28. Mär 2017

wenn in der Produktbeschreibung (bereits von anderen zitiert) die ethernet schnittstelle...

T-oo-l 28. Mär 2017

Also ich verstehe den ganzen IoT Hype nicht ganz. Ich gebe zu, ich bin schon immer sehr...


Folgen Sie uns
       


Linux-Smartphone Pinephone im Test

Das Pinephone ist das erste echte Linux-Smartphone seit rund 5 Jahren und dazu noch von einer Community erstellt. Das ambitionierte Projekt scheitert letztlich aber an der Realität.

Linux-Smartphone Pinephone im Test Video aufrufen
Radeon RX 6800 (XT) im Test: Die Rückkehr der Radeon-Ritter
Radeon RX 6800 (XT) im Test
Die Rückkehr der Radeon-Ritter

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.
Ein Test von Marc Sauter

  1. Radeon RX 6800 (XT) Das Unboxing als Gelegenheit
  2. Radeon RX 6000 AMD sieht sich in Benchmarks vor Nvidia
  3. Big Navi (RDNA2) Radeon RX 6900 XT holt Geforce RTX 3090 ein

In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
In eigener Sache
Golem-PCs mit Ryzen 5000 und Radeon RX 6800

Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

  1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
  2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
  3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


      •  /