Vernetzte Geräte: Tausende Sicherheitslücken entdeckt

In mehr als 140.000 vernetzten Geräten haben Forscher teils schwerwiegende Sicherheitslücken entdeckt, darunter Zero-Day-Exploits, hartcodierte Passwörter und private Schlüssel.

Artikel veröffentlicht am ,
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras.
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras. (Bild: Maximilian Schönherr/CC BY-SA 3.0)

In mehr als 32.000 Firmware-Images, die in tausenden Geräten stecken, haben Forscher teils schwerwiegende Sicherheitslücken entdeckt. Sie reichen von Zero-Day-Lücken bis hin zu offenen Zugangsdaten und privaten Schlüsseln. Laut den vier Forschern von der französischen Universität Institut Eurécom sind mehr als 140.000 Router oder Überwachungskamerasysteme betroffen.

Stellenmarkt
  1. Service Engineer (Incident- & Problemmanager) - Expert (m/w/d)
    Vodafone GmbH, Eschborn, Düsseldorf, Stuttgart, Unterföhring
  2. Service Engineer (Incident- & Problemmanager) - Specialist (m/w/d)
    Vodafone GmbH, Eschborn, Unterföhring, Stuttgart, Düsseldorf
Detailsuche

Andrei Costin, Jonas Zaddach, Aurélien Francillon und Davide Balzarotti haben für ihre Forschung ein automatisiertes Verfahren entwickelt, mit dem sie 32.356 Firmware-Images verschiedener Geräte untersucht haben. Sie nutzten dabei Werkzeuge wie Binwalk, FRAK und BAT. Damit ließen sich 20 Prozent mehr proprietäre Geräte untersuchen als bisherige vergleichbare Studien, so die Forscher. Außerdem empfehlen sie den Einsatz des Werkzeugs Bitshred samt Mapreduce auf Hadoop.

Die entpackten Images ergaben insgesamt mehr als 1,7 Millionen Dateien. Hatten die Forscher in einer Firmware eine Lücke entdeckt, überprüften sie mit ihrem Verfahren andere Dateien auf ähnliche Schwachstellen. Ihre Herangehensweise und Ergebnisse wollen die vier Forscher unter dem Namen "A Large-Scale Analysis of the Security of Embedded Firmwares" auf der Konferenz für IT-Sicherheit Usenix 2014 vorstellen.

Eine Ursache für viele Fehler

Viele der Schwachstellen hätten beispielsweise eine gemeinsame Quelle, etwa einen Fehler in der SDK oder in anderen Werkzeugen von Softwareherstellern, die ihre Produkte dann unter einem anderen Namen an weitere Hardwarehersteller lizenzierten, so die Forscher. So hätten sie den gleichen Fehler in völlig verschiedenen Überwachungskameras entdeckt, deren Firmware in leicht veränderter Form von einem einzigen Unternehmen erstellt wurde. Viele Hardwarehersteller wüssten gar nicht, woher die Firmware stammt. Angreifer hingegen könnten auf Grund eines einzigen gefundenen Fehlers mehrere Geräte angreifen.

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Auch die Vielfalt der Schwachstellen hätte die Forscher überrascht, schreibt The Register. In etwa 101.000 Geräten hätten die Forscher SSH-Schlüssel und Zugangsdaten für Administratoren entdeckt. In weiteren 2.000 seien hartcodierte Telnet-Zugänge gewesen. In 681 unterschiedlichen Firmware-Dateien von 27 Herstellern haben die Forscher in den Verzeichnissen /etc/passwd und /etc/shadow eindeutige Passwort-Hashes entdeckt, von denen sie 58 Passwörter haben auslesen können. Bei einigen habe es gar kein Passwort gegeben, bei anderen habe es sich um einfache Passwörter wie "pass", "logout" oder "helpme" gehandelt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
3D-Druck-Messe Formnext 2021
Raus aus der Nische

3D-Druck wird immer schneller, schöner und effizienter. Die Technologie ist dabei, die Produktion zu revolutionieren und in unseren Alltag einzuziehen.
Ein Bericht von Elias Dinter

3D-Druck-Messe Formnext 2021: Raus aus der Nische
Artikel
  1. K|Lens One: Erstes Lichtfeldobjektiv für Spiegelreflexkameras entwickelt
    K|Lens One
    Erstes Lichtfeldobjektiv für Spiegelreflexkameras entwickelt

    Das Spin-off eines Max-Planck-Instituts hat ein Lichtfeldobjektiv für herkömmliche DSLRs entwickelt. Auf Kickstarter kann es unterstützt werden.

  2. KI sagt Bundeswehr das Weltraumwetter voraus
     
    KI sagt Bundeswehr das Weltraumwetter voraus

    Viele Firmen haben längst den Nutzen künstlicher Intelligenz (KI) für ihre Geschäftsmodelle erkannt. Wie die Bundeswehr KI wirksam einsetzen könnte, erprobt sie mit der BWI als Digitalisierungspartner.
    Sponsored Post von BWI

  3. Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
    Fälschung
    Wieder Abmahnungen wegen Youporn-Streaming

    Diesmal hat ein Betrüger einen besonders dummen Versuch für Abmahnungen zum Streaming bei Youporn gestartet. In seinem Brief stimmt fast keine Angabe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Crucial-SSDs zu Bestpreisen • Nur noch heute: Bis zu 75% auf Switch-Spiele • G.Skill 64GB Kit 3800MHz 319€ • Bis zu 300€ Direktabzug auf TVs, Laptops uvm. bei MM/Saturn • Blizzard-Geschenkkarten • Alternate (u. a. Biostar Mainboard 64,90€) • Xbox Series S 275,99€ [Werbung]
    •  /