Abo
  • Services:
Anzeige
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras.
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras. (Bild: Maximilian Schönherr/CC BY-SA 3.0)

Vernetzte Geräte: Tausende Sicherheitslücken entdeckt

In mehr als 140.000 vernetzten Geräten haben Forscher teils schwerwiegende Sicherheitslücken entdeckt, darunter Zero-Day-Exploits, hartcodierte Passwörter und private Schlüssel.

Anzeige

In mehr als 32.000 Firmware-Images, die in tausenden Geräten stecken, haben Forscher teils schwerwiegende Sicherheitslücken entdeckt. Sie reichen von Zero-Day-Lücken bis hin zu offenen Zugangsdaten und privaten Schlüsseln. Laut den vier Forschern von der französischen Universität Institut Eurécom sind mehr als 140.000 Router oder Überwachungskamerasysteme betroffen.

Andrei Costin, Jonas Zaddach, Aurélien Francillon und Davide Balzarotti haben für ihre Forschung ein automatisiertes Verfahren entwickelt, mit dem sie 32.356 Firmware-Images verschiedener Geräte untersucht haben. Sie nutzten dabei Werkzeuge wie Binwalk, FRAK und BAT. Damit ließen sich 20 Prozent mehr proprietäre Geräte untersuchen als bisherige vergleichbare Studien, so die Forscher. Außerdem empfehlen sie den Einsatz des Werkzeugs Bitshred samt Mapreduce auf Hadoop.

Die entpackten Images ergaben insgesamt mehr als 1,7 Millionen Dateien. Hatten die Forscher in einer Firmware eine Lücke entdeckt, überprüften sie mit ihrem Verfahren andere Dateien auf ähnliche Schwachstellen. Ihre Herangehensweise und Ergebnisse wollen die vier Forscher unter dem Namen "A Large-Scale Analysis of the Security of Embedded Firmwares" auf der Konferenz für IT-Sicherheit Usenix 2014 vorstellen.

Eine Ursache für viele Fehler

Viele der Schwachstellen hätten beispielsweise eine gemeinsame Quelle, etwa einen Fehler in der SDK oder in anderen Werkzeugen von Softwareherstellern, die ihre Produkte dann unter einem anderen Namen an weitere Hardwarehersteller lizenzierten, so die Forscher. So hätten sie den gleichen Fehler in völlig verschiedenen Überwachungskameras entdeckt, deren Firmware in leicht veränderter Form von einem einzigen Unternehmen erstellt wurde. Viele Hardwarehersteller wüssten gar nicht, woher die Firmware stammt. Angreifer hingegen könnten auf Grund eines einzigen gefundenen Fehlers mehrere Geräte angreifen.

Auch die Vielfalt der Schwachstellen hätte die Forscher überrascht, schreibt The Register. In etwa 101.000 Geräten hätten die Forscher SSH-Schlüssel und Zugangsdaten für Administratoren entdeckt. In weiteren 2.000 seien hartcodierte Telnet-Zugänge gewesen. In 681 unterschiedlichen Firmware-Dateien von 27 Herstellern haben die Forscher in den Verzeichnissen /etc/passwd und /etc/shadow eindeutige Passwort-Hashes entdeckt, von denen sie 58 Passwörter haben auslesen können. Bei einigen habe es gar kein Passwort gegeben, bei anderen habe es sich um einfache Passwörter wie "pass", "logout" oder "helpme" gehandelt.


eye home zur Startseite
derdiedas 20. Aug 2014

Nein ist es nicht. Einzig richtig wäre, wenn der Schlüssel sich per Challenge-Response...

derdiedas 20. Aug 2014

Mann bekommt halt das was man bezahlt. Wer nur eine Döner mit 3,50Euro bezahlt kann kein...

raphaelo00 20. Aug 2014

Lehrer fragt Fritzchen: "Kannst du mir mal 5 Tiere nennen, die in Afrika leben...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Dresden, Frankfurt, München
  2. über Ratbacher GmbH, Raum Bremen
  3. Medion AG, Essen
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Leitfaden für den gezielten Einsatz von SAP HANA
  2. SAP HANA Integration von der Planung bis zum Hosting


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Ms MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Langsam wird Musk verrückt

    Ovaron | 10:40

  2. Re: Lieber das U-Bahnnetz ausbauen!

    mxcd | 10:38

  3. Re: Start Stick

    Wahrheitssager | 10:32

  4. Re: Wie wärs mit öffentlichen Verkehrsmitteln?!

    Fighter125 | 10:30

  5. Re: Autopilot?

    mxcd | 10:23


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel