Abo
  • Services:
Anzeige
Wegen unzureichend abgesicherter Firmware gelang es Datenexperten, Doom auf einem Canon-Drucker zu installieren.
Wegen unzureichend abgesicherter Firmware gelang es Datenexperten, Doom auf einem Canon-Drucker zu installieren. (Bild: Context Information Security)

IT-Sicherheit: Doom auf gehackten Druckern installiert

Weil ein Firmware-Update auf einigen Druckern von Canon fast ohne Absicherung installiert werden kann, haben IT-Sicherheitsexperten dort als Machbarkeitsnachweis das Ballerspiel Doom installiert.

Anzeige

Dass die Konfigurationsoberfläche zahlreicher Drucker auch über das Internet erreichbar ist, ist längst bekannt. Viele sind aber offenbar nicht durch Passwörter abgesichert, sofern der Hersteller dies überhaupt ermöglicht. Das britische IT-Sicherheitsunternehmen Context Information Security hat aber zudem entdeckt, dass einige Drucker über eine nur unzureichend abgesicherte Firmware verfügen. Auf einem Pixma MG6450 von Canon haben sie deshalb das Spiel Doom installiert.

Ein Fehler in der webbasierten Benutzeroberfläche macht den Drucker offen für Angriffe über Cross-Site Request Forgeries. Damit lassen sich auch Drucker angreifen, die eigentlich nur im Intranet oder einem NAT-Netzwerk erreichbar sind, etwa über speziell präparierte Webseiten, die ein Mitarbeiter im gleichen Netzwerk öffnet. Wenn sich die Konfigurationsoberfläche des besagten Druckers nicht durch eine Sperre absichern lässt, kann sich ein Angreifer über eine weitere Webseite problemlos Zugang zum Drucker verschaffen und beispielsweise so lange drucken, bis die Patronen leer sind.

Kaum verschlüsselte Firmware

Noch gravierender sei jedoch, dass die Firmware nicht signiert und nur durch XOR verschlüsselt sei. Innerhalb von 10 Minuten sei die Firmware entschlüsselt worden, so die Forscher. Sie sei zudem deshalb leicht zu modifizieren und wieder so zu verschlüsseln gewesen, dass sie als ordentliches Update vom Drucker akzeptiert wurde. Anschließend konnte auf dem Display des Druckers Doom gespielt werden. Die Farben seien aber nicht perfekt, so die Datenexperten.

Canon hat indes auf die Anfrage der Experten im Juni 2014 reagiert und versprach, die fehlende Funktion durch Updates nachzureichen. Die Updates werden für alle Geräte zur Verfügung gestellt, die nach Mitte 2013 auf den Markt gekommen sind.

Viele verwundbare Drucker im Internet

Die Datenexperten haben ihren Machbarkeitsnachweis am vergangenen Freitag, dem 12. September 2014, auf der IT-Sicherheitskonferenz 44Con in London vorgestellt. Kurz zuvor hatten sie die Shodan-Datenbank bemüht, die verwundbare Geräte sammelt, die über das Internet erreichbar sind. Dort seien etwa 32.000 IP-Adressen vermerkt, die auf möglicherweise verwundbare Drucker hinweisen. Davon hätten sie 9.000 untersucht. Die Datenexperten hätten 1.822 Drucker gefunden, die tatsächlich über das Internet erreichbar waren, und davon hätten 122 eine angreifbare Firmware. Hochgerechnet seien deshalb etwa 2.000 verwundbare Drucker im Internet erreichbar, so die IT-Sicherheitsforscher.


eye home zur Startseite
Kakiss 16. Sep 2014

Das am Ende jeder gelacht hat spricht eher für den Scherz ;) Das Leben zeigt oft genug...

wynillo 16. Sep 2014

Ne einer der Doom spielen konnte

Oldschooler 16. Sep 2014

Klar, es ist bestimmt absolut sinnvoll wenn jeder Mitarbeiter eines Unternehmens erst...

derdiedas 16. Sep 2014

Echt - die Komponente hat es aber in abermillionen Implementierungen geschafft. Viele...

sidmos6581 15. Sep 2014

Genau und wenn Du es nicht schafft den Doom-Oberlord mit der Motorsäge zu killen, dann...



Anzeige

Stellenmarkt
  1. Bosch Service Solutions Magdeburg GmbH, Berlin
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden
  3. ALDI SÜD, Mülheim an der Ruhr
  4. Dataport, Altenholz bei Kiel, Hamburg


Anzeige
Hardware-Angebote
  1. bei Caseking
  2. Gutscheincode PLUSBAY (maximaler Rabatt 50€, nur Paypal-Zahlung)
  3. 64,90€ + 3,99€ Versand

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Das Spiel ist beendet.

    kotap | 02:17

  2. Re: Ich wäre ja mal froh wenn Golem sein...

    Desertdelphin | 00:55

  3. Re: Besser als GTA

    Erny | 00:40

  4. Re: halb so schlimm

    Apfelbrot | 00:40

  5. Re: Nicht die 1 TFLOPS sind erstaunlich sondern...

    Vielfalt | 00:31


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel