Sicherheitslücke: Steuerung von Bau-Kran lässt sich übernehmen

Eine Sicherheitslücke in der kabellosen Kransteuerung Telecrane F25 ermöglicht es, Signale mitzuschneiden und mit diesen anschließend den Kran fernzusteuern. Ein Sicherheitsupdate steht bereit.

Artikel veröffentlicht am ,
Ob sich dieser Kran auch einfach übernehmen lässt?
Ob sich dieser Kran auch einfach übernehmen lässt? (Bild: minka2507/CC0 1.0)

Bauarbeiter bedienen einen Kran meist vom Boden aus mit einem kabellosen Steuerungsgerät. Wenn es sich dabei um ein Gerät aus der Serie Telecrane F25 handelt, kann die Steuerung des Kranes von außen übernommen werden. Nach einem Bericht von The Register rät die staatliche Sicherheitsbehörde US-CERT Baufirmen, die die Geräte einsetzen, dringend Updates einzuspielen. Entdeckt wurde die Sicherheitslücke durch die Sicherheitsforscher Jonathan Andersson, Philippe Lin, Akira Urano, Marco Balduzzi, Federico Maggi, Stephen Hilt und Rainer Vosseler. Der Sicherheitslücke wurde die CVE-2018-17935 zugewiesen.

Stellenmarkt
  1. IT-Berater (m/w/d)
    Finanz Informatik GmbH & Co. KG, Frankfurt, München
  2. Wissenschaftliche*r Mitarbeiter*in - Automatisierung von Produktionsmaschinen
    Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
Detailsuche

Um die Sicherheitslücke auszunutzen, müssen Angreifer den Funkverkehr zwischen dem Steuerungsgerät und dem Kran mitschneiden. Der Kran nutzt immer die gleichen Signale zur Steuerung. Werden die mitgeschnittenen Steuerungscodes an den Kran geschickt, kann dieser von den Angreifern ferngesteuert werden. Angriffe, bei denen Daten mitgeschnitten und wieder gesendet werden, werden auch Capture-Replay-Attacke genannt. US-Cert stuft die Lücke daher als mit wenig Hintergrundwissen leicht ausnutzbar ein.

Dem Kran kann beispielsweise durch einen Angreifer kontinuierlich ein Stop-Signal gesendet werden, was den Kran für die Bauarbeiter unbenutzbar machen kann. Gefährlicher wird es, wenn der Kran größere Gewichte anhebt und von Angreifern ferngesteuert wird.

Die taiwanische Herstellerfirma Telecrane rät zu einem Update der Firmware auf Version 00.0A, mit der die Sicherheitslücke behoben wurde. Nun ist es an den Baufirmen das Sicherheitsupdate auch einzuspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


MikeU 30. Okt 2018

Ich finde, die Versionsnummer ist echt Vertrauen erweckend...

__destruct() 30. Okt 2018

Im Artikel wird das Außerbetriebnehmen so hervorgehoben. Immer im Kreis ist doch viel...

Aluz 30. Okt 2018

Also, wenn es immer die selben Signale sind, dann klingt das ja fast so als ob der...

drunkenmaster 30. Okt 2018

Wieso können nicht einfach alle SemVer (https://semver.org/) nutzen? Würden alle sofort...



Aktuell auf der Startseite von Golem.de
I am Jesus Christ angespielt
Der Jesus-Simulator lässt uns vom Glauben abfallen

Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
Von Peter Steinlechner

I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
Artikel
  1. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

  2. Prozessor-Architektur: Das lange Erbe von Intels 8080
    Prozessor-Architektur
    Das lange Erbe von Intels 8080

    50 Jahre alte Entscheidungen beeinflussen heutige Prozessoren - selbst Apples ARM-Prozessoren können sich dem nicht entziehen.
    Von Johannes Hiltscher

  3. Deutsche Bahn: ICE 3 Neo startet mit mehr Platz und besserem Empfang
    Deutsche Bahn
    ICE 3 Neo startet mit mehr Platz und besserem Empfang

    Die neueste Version des Klassikers ICE 3 der Deutschen Bahn ging in Frankfurt auf die erste planmäßige Fahrt. Die Verbesserungen stecken im Detail.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /