Abo
  • Services:
Anzeige
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Internet of Things: Fehler in Spülmaschine ermöglicht Zugriff auf Webserver

Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

Dass es vielleicht doch keine so besonderes gute Idee ist, sämtliche verfügbaren Elektrogeräte mit dem Internet zu verbinden, haben diverse Sicherheitslücken in Internet-of-Things-Geräten in der Vergangenheit immer wieder gezeigt. Die Liste unsicherer Geräte im Netz wird nun - wenn auch eher unfreiwillig - um einen Reinigungs- und Desinfektionsautomaten für Laborbedarf des Herstellers Miele erweitert.

Anzeige

Denn laut dem Sicherheitsforscher Jens Regel des Beratungsunternehmens Schneider und Wulf ist der integrierte PST10-Webserver des Miele PG 8528 von einer relativ leicht nachvollziehbaren Sicherheitslücke betroffen: einem sogenannten Directory-Traversal-Bug. Dieser ermöglicht Angreifern den Zugriff auf beliebige Dateien des Rechners, auf dem der Webserver läuft.

Ein Angreifer könnte damit also Informationen erlangen, die dabei helfen, weiter in das System vorzudringen. Um die Lücke zu demonstrieren, veröffentlicht der Sicherheitsforscher Regel die Ausgabe der Datei /etc/shadow inklusive eines Teils des dort vorgehaltenen Shadow-Passworts für den Root-Nutzer.

Ethernet-Verbindung nur durch Miele-Support empfohlen

Laut Regel habe er seit Anfang November versucht, den Hersteller Miele zu kontaktieren und über die Sicherheitslücke zu informieren. Nachdem der Forscher die Lücke an Miele gemeldet hat, habe sich das Unternehmen jedoch nicht mehr gemeldet, auch nicht auf explizite Anfragen.

Miele hat nach ersten Medienberichten über die Lücke eine "Kommunikationspanne" eingeräumt und in einer Pressemitteilung Updates für seine Kunden in Aussicht gestellt. Darüber hinaus dankt das Unternehmen explizit dem Finder der Lücke. Ebenso möchte Miele überprüfen, warum nicht auf seine Hinweise reagiert worden ist, "um die Gefahr einer Wiederholung auszuschließen".

Dem Gerät liegt der Gebrauchsanweisung (PDF) zufolge ein fünf Meter langes Ethernet-Kabel bei, das laut Anweisung jedoch "nur durch den Miele-Kundendienst an eine andere Schnittstelle angeschlossen werden" darf. Schlimmstenfalls halten sich die Kunden aber eben nicht an diesen Hinweis und hängen das Gerät einfach in ihr eigenes Netz, ohne sich möglicher Gefahren bewusst zu sein.

Nachtrag vom 31. März 2017, 13:30 Uhr

Wir haben den Text um die Informationen von Miele ergänzt.


eye home zur Startseite
Hugo21 28. Mär 2017

Das das Dinge gar kein "IoT" Gerät ist würde eine solche Zertifizierung gar nichts bringen.

Hugo21 28. Mär 2017

LAN ist sinnvoll, da flexibel und kostengünstig und jeder Laptop hat heute LAN, aber...

M.P. 28. Mär 2017

Kommt auf die Dramatik des "Abrauchens" an ... Jeder dritte Wohnungsbrand wird durch...

My1 28. Mär 2017

wenn in der Produktbeschreibung (bereits von anderen zitiert) die ethernet schnittstelle...

T-oo-l 28. Mär 2017

Also ich verstehe den ganzen IoT Hype nicht ganz. Ich gebe zu, ich bin schon immer sehr...



Anzeige

Stellenmarkt
  1. VSA GmbH, München
  2. BARMER, Wuppertal
  3. Harvey Nash GmbH, Baden-Baden
  4. Schwarz Business IT GmbH & Co. KG, Neckarsulm


Anzeige
Spiele-Angebote
  1. 15,51€ (ohne Prime bzw. unter 29€ Einkauf + 3 Versand)
  2. 1,49€
  3. 69,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Verbrennungsmotor

    Benzin-Drohne soll fünf Tage in der Luft bleiben

  2. Assistenzsysteme

    Kängurus verwirren Volvos

  3. RapidE

    Aston Martin kündigt erstes Elektroauto für 2019 an

  4. Honor 9 im Hands on

    Huawei macht das P10 überflüssig

  5. Qualcomm

    Snapdragon 450 unterstützt Iris-Scan

  6. Google Daydream

    Qualcomm verrät Details zu Standalone-Headsets

  7. Frontier Development

    Weltraumspiel Elite Dangerous für PS4 erhältlich

  8. Petya-Ransomware

    Maersk, Rosneft und die Ukraine mit Ransomware angegriffen

  9. Nach Einigung

    Bündnis hält Facebook-Gesetz weiterhin für gefährlich

  10. SNES Classic Mini

    Nintendo produziert zweite Retrokonsole in höherer Stückzahl



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. United-Internet-Übernahme Drillisch will weg von Billigangeboten
  2. Prime Reading Amazon startet dritte Lese-Flatrate in Deutschland
  3. Übernahmen Extreme Networks will eine Branchengröße werden

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

  1. Re: Bin nur ich so dumm, ...

    Milber | 08:56

  2. Ich sehe nur 64GB "ROM"

    mziegler | 08:54

  3. Re: Schwere Straftaten

    divStar | 08:54

  4. Re: Warte auf Nintendo64 Mini

    kendon | 08:52

  5. Re: wie ist es eigentlich mit us bürgern?

    Schnarchnase | 08:49


  1. 08:58

  2. 08:37

  3. 08:06

  4. 07:40

  5. 06:00

  6. 02:00

  7. 17:35

  8. 17:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel