Abo
  • Services:
Anzeige
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Internet of Things: Fehler in Spülmaschine ermöglicht Zugriff auf Webserver

Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

Dass es vielleicht doch keine so besonderes gute Idee ist, sämtliche verfügbaren Elektrogeräte mit dem Internet zu verbinden, haben diverse Sicherheitslücken in Internet-of-Things-Geräten in der Vergangenheit immer wieder gezeigt. Die Liste unsicherer Geräte im Netz wird nun - wenn auch eher unfreiwillig - um einen Reinigungs- und Desinfektionsautomaten für Laborbedarf des Herstellers Miele erweitert.

Anzeige

Denn laut dem Sicherheitsforscher Jens Regel des Beratungsunternehmens Schneider und Wulf ist der integrierte PST10-Webserver des Miele PG 8528 von einer relativ leicht nachvollziehbaren Sicherheitslücke betroffen: einem sogenannten Directory-Traversal-Bug. Dieser ermöglicht Angreifern den Zugriff auf beliebige Dateien des Rechners, auf dem der Webserver läuft.

Ein Angreifer könnte damit also Informationen erlangen, die dabei helfen, weiter in das System vorzudringen. Um die Lücke zu demonstrieren, veröffentlicht der Sicherheitsforscher Regel die Ausgabe der Datei /etc/shadow inklusive eines Teils des dort vorgehaltenen Shadow-Passworts für den Root-Nutzer.

Ethernet-Verbindung nur durch Miele-Support empfohlen

Laut Regel habe er seit Anfang November versucht, den Hersteller Miele zu kontaktieren und über die Sicherheitslücke zu informieren. Nachdem der Forscher die Lücke an Miele gemeldet hat, habe sich das Unternehmen jedoch nicht mehr gemeldet, auch nicht auf explizite Anfragen.

Miele hat nach ersten Medienberichten über die Lücke eine "Kommunikationspanne" eingeräumt und in einer Pressemitteilung Updates für seine Kunden in Aussicht gestellt. Darüber hinaus dankt das Unternehmen explizit dem Finder der Lücke. Ebenso möchte Miele überprüfen, warum nicht auf seine Hinweise reagiert worden ist, "um die Gefahr einer Wiederholung auszuschließen".

Dem Gerät liegt der Gebrauchsanweisung (PDF) zufolge ein fünf Meter langes Ethernet-Kabel bei, das laut Anweisung jedoch "nur durch den Miele-Kundendienst an eine andere Schnittstelle angeschlossen werden" darf. Schlimmstenfalls halten sich die Kunden aber eben nicht an diesen Hinweis und hängen das Gerät einfach in ihr eigenes Netz, ohne sich möglicher Gefahren bewusst zu sein.

Nachtrag vom 31. März 2017, 13:30 Uhr

Wir haben den Text um die Informationen von Miele ergänzt.


eye home zur Startseite
Hugo21 28. Mär 2017

Das das Dinge gar kein "IoT" Gerät ist würde eine solche Zertifizierung gar nichts bringen.

Themenstart

Hugo21 28. Mär 2017

LAN ist sinnvoll, da flexibel und kostengünstig und jeder Laptop hat heute LAN, aber...

Themenstart

M.P. 28. Mär 2017

Kommt auf die Dramatik des "Abrauchens" an ... Jeder dritte Wohnungsbrand wird durch...

Themenstart

My1 28. Mär 2017

wenn in der Produktbeschreibung (bereits von anderen zitiert) die ethernet schnittstelle...

Themenstart

T-oo-l 28. Mär 2017

Also ich verstehe den ganzen IoT Hype nicht ganz. Ich gebe zu, ich bin schon immer sehr...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Springer Nature, Berlin
  2. ibau GmbH, Münster
  3. Dürr IT Service GmbH, Bietigheim-Bissingen
  4. Universitätsklinikum Carl Gustav Carus Dresden, Dresden


Anzeige
Hardware-Angebote
  1. ab 224,90€ bei Caseking gelistet

Folgen Sie uns
       


  1. Amazon

    Phishing-Kampagne ködert mit Datenschutzgrundverordnung

  2. Linux-Distribution

    Opensuse ändert erneut sein Versionsschema

  3. Ronin 2 und Cendence

    DJI präsentiert neuen Kamera-Gimbal und Drohnencontroller

  4. Festnetz

    Neue Glasfaser von Prysmian soll Spleißzeit verringern

  5. Radeon Pro Duo

    AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips

  6. Mediacenter-Software

    Warum Kodi DRM unterstützen will

  7. Satelliteninternet

    Apple holt sich Satellitenexperten von Alphabet

  8. Microsoft

    Bis 2020 kein Office-Support mehr für einige Cloud-Dienste

  9. Sonos Playbase vs. Raumfeld Sounddeck

    Wuchtiger Wumms im Wohnzimmer

  10. Regierungspräsidium

    Docmorris muss Automatenapotheke schließen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt
  1. Die Woche im Video Kein Saft, kein Wumms, keine Argumente
  2. Quantenmechanik Malen nach Zahlen für die weltbesten Mathematiker
  3. IBM Q Qubits as a Service

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  2. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  3. Sportback Concept Audis zweiter E-tron ist ein Sportwagen

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Re: Völliger Bullshit

    neocron | 17:07

  2. Re: An die Aktien-Experten: wie kommt der...

    Oktavian | 17:07

  3. Re: Bitte bitte kein Software Blob

    DonaldDuck | 17:05

  4. Re: DRM aber optional?

    My1 | 17:04

  5. Re: wer schützt uns vor den Schnapsideen...

    NopeNopeNope | 16:55


  1. 17:10

  2. 16:49

  3. 16:26

  4. 16:11

  5. 15:56

  6. 13:45

  7. 13:13

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel