Abo
  • Services:
Anzeige
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Internet of Things: Fehler in Spülmaschine ermöglicht Zugriff auf Webserver

Nicht im Bild: das Ethernet-Kabel für die Spülmaschine
Nicht im Bild: das Ethernet-Kabel für die Spülmaschine (Bild: Miele)

Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

Dass es vielleicht doch keine so besonderes gute Idee ist, sämtliche verfügbaren Elektrogeräte mit dem Internet zu verbinden, haben diverse Sicherheitslücken in Internet-of-Things-Geräten in der Vergangenheit immer wieder gezeigt. Die Liste unsicherer Geräte im Netz wird nun - wenn auch eher unfreiwillig - um einen Reinigungs- und Desinfektionsautomaten für Laborbedarf des Herstellers Miele erweitert.

Anzeige

Denn laut dem Sicherheitsforscher Jens Regel des Beratungsunternehmens Schneider und Wulf ist der integrierte PST10-Webserver des Miele PG 8528 von einer relativ leicht nachvollziehbaren Sicherheitslücke betroffen: einem sogenannten Directory-Traversal-Bug. Dieser ermöglicht Angreifern den Zugriff auf beliebige Dateien des Rechners, auf dem der Webserver läuft.

Ein Angreifer könnte damit also Informationen erlangen, die dabei helfen, weiter in das System vorzudringen. Um die Lücke zu demonstrieren, veröffentlicht der Sicherheitsforscher Regel die Ausgabe der Datei /etc/shadow inklusive eines Teils des dort vorgehaltenen Shadow-Passworts für den Root-Nutzer.

Ethernet-Verbindung nur durch Miele-Support empfohlen

Laut Regel habe er seit Anfang November versucht, den Hersteller Miele zu kontaktieren und über die Sicherheitslücke zu informieren. Nachdem der Forscher die Lücke an Miele gemeldet hat, habe sich das Unternehmen jedoch nicht mehr gemeldet, auch nicht auf explizite Anfragen.

Miele hat nach ersten Medienberichten über die Lücke eine "Kommunikationspanne" eingeräumt und in einer Pressemitteilung Updates für seine Kunden in Aussicht gestellt. Darüber hinaus dankt das Unternehmen explizit dem Finder der Lücke. Ebenso möchte Miele überprüfen, warum nicht auf seine Hinweise reagiert worden ist, "um die Gefahr einer Wiederholung auszuschließen".

Dem Gerät liegt der Gebrauchsanweisung (PDF) zufolge ein fünf Meter langes Ethernet-Kabel bei, das laut Anweisung jedoch "nur durch den Miele-Kundendienst an eine andere Schnittstelle angeschlossen werden" darf. Schlimmstenfalls halten sich die Kunden aber eben nicht an diesen Hinweis und hängen das Gerät einfach in ihr eigenes Netz, ohne sich möglicher Gefahren bewusst zu sein.

Nachtrag vom 31. März 2017, 13:30 Uhr

Wir haben den Text um die Informationen von Miele ergänzt.


eye home zur Startseite
Hugo21 28. Mär 2017

Das das Dinge gar kein "IoT" Gerät ist würde eine solche Zertifizierung gar nichts bringen.

Hugo21 28. Mär 2017

LAN ist sinnvoll, da flexibel und kostengünstig und jeder Laptop hat heute LAN, aber...

M.P. 28. Mär 2017

Kommt auf die Dramatik des "Abrauchens" an ... Jeder dritte Wohnungsbrand wird durch...

My1 28. Mär 2017

wenn in der Produktbeschreibung (bereits von anderen zitiert) die ethernet schnittstelle...

T-oo-l 28. Mär 2017

Also ich verstehe den ganzen IoT Hype nicht ganz. Ich gebe zu, ich bin schon immer sehr...



Anzeige

Stellenmarkt
  1. Dr. August Oetker KG, Bielefeld
  2. ETAS GmbH & Co. KG, Stuttgart
  3. USU AG, Möglingen bei Stuttgart
  4. Der Polizeipräsident in Berlin, Berlin


Anzeige
Top-Angebote
  1. (u. a. Hacksaw Ridge, Lion, Snowden, Lone Survivor, London Has Fallen, Homefront)
  2. (u. a. Game of Thrones, Supernatural, The Big Bang Theory)
  3. (u. a. Blade Runner, Inception, Erlösung, Mad Max Fury Road, Creed, Legend of Zarzan)

Folgen Sie uns
       


  1. Smarter

    Katastrophen-App kann ohne Mobilfunknetz kommunizieren

  2. Statt Docker und Kubernetes

    Facebook braucht Tupperware für seine Container

  3. Windows 10 Version 1709 im Kurztest

    Ein bisschen Kontaktpflege

  4. Powerline Advanced

    Devolo bringt DLAN-Adapter mit zwei Ports und Steckdose

  5. CSE

    Kanadas Geheimdienst verschlüsselt Malware mit RC4

  6. DUHK-Angriff

    Vermurkster Zufallszahlengenerator mit Zertifizierung

  7. Coda

    Office-365-Alternative kommt ohne "Schiffe versenken" aus

  8. Bethesda

    Wolfenstein 2 benötigt leistungsstarke PC-Hardware

  9. Radeon Software 17.10.2

    AMD-Treiber beschleunigt Destiny 2 um 50 Prozent

  10. Cray und Microsoft

    Supercomputer in der Azure-Cloud mieten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Powerline ist noch schädlicher als WLAN

    TC | 13:09

  2. Re: Jubel!

    soluga | 13:08

  3. Re: Auf 9.3.5 (letzte IOS 9 Version) ist der...

    Potrimpo | 13:05

  4. Re: Halte ich für Quark.

    nachgefragt | 13:05

  5. Einführungsvideo

    n0x30n | 13:03


  1. 13:13

  2. 13:12

  3. 12:01

  4. 11:36

  5. 11:13

  6. 10:48

  7. 10:45

  8. 10:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel