• IT-Karriere:
  • Services:

Sicherheitslücke: Steuerung von Bau-Kran lässt sich übernehmen

Eine Sicherheitslücke in der kabellosen Kransteuerung Telecrane F25 ermöglicht es, Signale mitzuschneiden und mit diesen anschließend den Kran fernzusteuern. Ein Sicherheitsupdate steht bereit.

Artikel veröffentlicht am ,
Ob sich dieser Kran auch einfach übernehmen lässt?
Ob sich dieser Kran auch einfach übernehmen lässt? (Bild: minka2507/CC0 1.0)

Bauarbeiter bedienen einen Kran meist vom Boden aus mit einem kabellosen Steuerungsgerät. Wenn es sich dabei um ein Gerät aus der Serie Telecrane F25 handelt, kann die Steuerung des Kranes von außen übernommen werden. Nach einem Bericht von The Register rät die staatliche Sicherheitsbehörde US-CERT Baufirmen, die die Geräte einsetzen, dringend Updates einzuspielen. Entdeckt wurde die Sicherheitslücke durch die Sicherheitsforscher Jonathan Andersson, Philippe Lin, Akira Urano, Marco Balduzzi, Federico Maggi, Stephen Hilt und Rainer Vosseler. Der Sicherheitslücke wurde die CVE-2018-17935 zugewiesen.

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Bechtle Onsite Services GmbH, München

Um die Sicherheitslücke auszunutzen, müssen Angreifer den Funkverkehr zwischen dem Steuerungsgerät und dem Kran mitschneiden. Der Kran nutzt immer die gleichen Signale zur Steuerung. Werden die mitgeschnittenen Steuerungscodes an den Kran geschickt, kann dieser von den Angreifern ferngesteuert werden. Angriffe, bei denen Daten mitgeschnitten und wieder gesendet werden, werden auch Capture-Replay-Attacke genannt. US-Cert stuft die Lücke daher als mit wenig Hintergrundwissen leicht ausnutzbar ein.

Dem Kran kann beispielsweise durch einen Angreifer kontinuierlich ein Stop-Signal gesendet werden, was den Kran für die Bauarbeiter unbenutzbar machen kann. Gefährlicher wird es, wenn der Kran größere Gewichte anhebt und von Angreifern ferngesteuert wird.

Die taiwanische Herstellerfirma Telecrane rät zu einem Update der Firmware auf Version 00.0A, mit der die Sicherheitslücke behoben wurde. Nun ist es an den Baufirmen das Sicherheitsupdate auch einzuspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,49€
  2. (-80%) 9,99€
  3. 11,99€

MikeU 30. Okt 2018

Ich finde, die Versionsnummer ist echt Vertrauen erweckend...

__destruct() 30. Okt 2018

Im Artikel wird das Außerbetriebnehmen so hervorgehoben. Immer im Kreis ist doch viel...

Aluz 30. Okt 2018

Also, wenn es immer die selben Signale sind, dann klingt das ja fast so als ob der...

drunkenmaster 30. Okt 2018

Wieso können nicht einfach alle SemVer (https://semver.org/) nutzen? Würden alle sofort...


Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. San José Bosch und Daimler starten autonomen Taxidienst
  2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

    •  /