Abo
  • Services:

Schwachstellen in der Firmware

Die Komponenten für vernetzte Geräte sollen möglichst günstig sein. In Serie von einem einzigen Hersteller fabriziert, werden sie in Tausenden oder sogar Millionen von Geräten eingesetzt. Und sie müssen mit entsprechender Firmware ausgestattet werden. Das jüngste Beispiel BadUSB hat gezeigt, wie wenige Hersteller solche Chips vor dem Aufspielen manipulierter Firmware schützen. Eine ausreichende Sicherheitsimplementierung fehlt oftmals, wie auch das Beispiel der Wemo-Geräte von Belkin zeigte.

Stellenmarkt
  1. Klinikum Esslingen GmbH, Eßlingen
  2. BGV / Badische Versicherungen, Karlsruhe

Im Januar 2014 gab es ein Firmware-Update, das "SSL-Verschlüsselung und eine Verifizierung zu der Infrastruktur für Firmware-Updates hinzufügte." Dabei wurde der zuvor auf den Geräten gespeicherte Schlüssel überflüssig, wie das Unternehmen schreibt. Offenbar war dieser wichtige Schlüssel zuvor in der Firmware abgelegt worden und konnte einfach über die serielle Schnittstelle ausgelesen werden, die Belkin ebenfalls mit dem Update mit einer Passwortabfrage absicherte. Das Problem ist oftmals, dass solche Schlüssel nicht nur für ein Gerät vergeben, sondern für eine gesamte Infrastruktur genutzt werden. Ein Angreifer hätte also einen solchen Schlüssel nur auf einem Gerät auslesen können und so Tausende andere manipulieren können.

Auslesbare Passwörter und offene Telnet-Zugänge

Dass Hersteller nicht immer die Firmware überprüfen, die ihnen zur Verfügung gestellt wird oder selbst Fehler dort einbauen, zeigten vier Forscher von der französischen Universität Institut Eurécom auf. In etwa 101.000 Geräten hatten sie nach eigenen Angaben SSH-Schlüssel und Zugangsdaten für Administratoren entdeckt. In weiteren 2.000 fanden sie hartcodierte Telnet-Zugänge. In 681 unterschiedlichen Firmware-Dateien von 27 Herstellern haben die Forscher in den Verzeichnissen /etc/passwd und /etc/shadow eindeutige Passwort-Hashes entdeckt, von denen sie 58 Passwörter auslesen konnten. Bei einigen habe es gar kein Passwort gegeben, bei anderen habe es sich um einfache Passwörter wie "pass", "logout" oder "helpme" gehandelt.

Auch die Forscher kommen zu dem Schluss, dass viele der Schwachstellen beispielsweise eine gemeinsame Quelle haben, etwa einen Fehler in der SDK oder in anderen Werkzeugen von Softwareherstellern, die ihre Produkte dann unter einem anderen Namen an weitere Hardwarehersteller lizenzieren. Sie entdeckten den gleichen Fehler in völlig verschiedenen Überwachungskameras, deren Firmware in leicht veränderter Form von einem einzigen Unternehmen erstellt wurde. Angreifer hingegen könnten aufgrund eines einzigen gefundenen Fehlers mehrere Geräte angreifen, resümieren die Forscher.

 Es könnte Tote gebenRouter sind die Tore zum Smarthome 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9.  


Anzeige
Hardware-Angebote
  1. 57,99€
  2. bei Caseking kaufen
  3. und Vive Pro vorbestellbar
  4. für 147,99€ statt 259,94€

Leichse 09. Jan 2015

Also, ich kann 30 Sekunden, nachdem ich den Topf runterziehe auf meine Herdplatte...

baz 21. Dez 2014

APPs gibt es wie Sand am Meer, da wirst du immer eine passende finden. Ich persönlich...

Donnergurgler 18. Dez 2014

Denkt man mal an körperlich beeinträchtigte Menschen, die froh sind, wenn sie alles...

Garius 16. Dez 2014

Dein Post wiederum zeigt mal wieder wunderbar, wie wenig die Leute in der Lage sind...

baz 16. Dez 2014

Dummerweiße wohne ich in einer Wohnung. Sprich sie wäre bloß in das Treppenhaus gekommen...


Folgen Sie uns
       


Cryorig Taku - Test

Das Cryorig Taku ist ein ungewöhnliches Desktop-Gehäuse, bei dem die Montage leider fummelig ausfällt.

Cryorig Taku - Test Video aufrufen
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  2. NUC8 Intels Mini-PC hat mächtig viel Leistung
  3. Hades Canyon Intel bringt NUC mit dedizierter GPU

    •  /