Abo
  • Services:
Anzeige
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras.
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras. (Bild: Maximilian Schönherr/CC BY-SA 3.0)

Vernetzte Geräte: Tausende Sicherheitslücken entdeckt

In mehr als 140.000 vernetzten Geräten haben Forscher teils schwerwiegende Sicherheitslücken entdeckt, darunter Zero-Day-Exploits, hartcodierte Passwörter und private Schlüssel.

Anzeige

In mehr als 32.000 Firmware-Images, die in tausenden Geräten stecken, haben Forscher teils schwerwiegende Sicherheitslücken entdeckt. Sie reichen von Zero-Day-Lücken bis hin zu offenen Zugangsdaten und privaten Schlüsseln. Laut den vier Forschern von der französischen Universität Institut Eurécom sind mehr als 140.000 Router oder Überwachungskamerasysteme betroffen.

Andrei Costin, Jonas Zaddach, Aurélien Francillon und Davide Balzarotti haben für ihre Forschung ein automatisiertes Verfahren entwickelt, mit dem sie 32.356 Firmware-Images verschiedener Geräte untersucht haben. Sie nutzten dabei Werkzeuge wie Binwalk, FRAK und BAT. Damit ließen sich 20 Prozent mehr proprietäre Geräte untersuchen als bisherige vergleichbare Studien, so die Forscher. Außerdem empfehlen sie den Einsatz des Werkzeugs Bitshred samt Mapreduce auf Hadoop.

Die entpackten Images ergaben insgesamt mehr als 1,7 Millionen Dateien. Hatten die Forscher in einer Firmware eine Lücke entdeckt, überprüften sie mit ihrem Verfahren andere Dateien auf ähnliche Schwachstellen. Ihre Herangehensweise und Ergebnisse wollen die vier Forscher unter dem Namen "A Large-Scale Analysis of the Security of Embedded Firmwares" auf der Konferenz für IT-Sicherheit Usenix 2014 vorstellen.

Eine Ursache für viele Fehler

Viele der Schwachstellen hätten beispielsweise eine gemeinsame Quelle, etwa einen Fehler in der SDK oder in anderen Werkzeugen von Softwareherstellern, die ihre Produkte dann unter einem anderen Namen an weitere Hardwarehersteller lizenzierten, so die Forscher. So hätten sie den gleichen Fehler in völlig verschiedenen Überwachungskameras entdeckt, deren Firmware in leicht veränderter Form von einem einzigen Unternehmen erstellt wurde. Viele Hardwarehersteller wüssten gar nicht, woher die Firmware stammt. Angreifer hingegen könnten auf Grund eines einzigen gefundenen Fehlers mehrere Geräte angreifen.

Auch die Vielfalt der Schwachstellen hätte die Forscher überrascht, schreibt The Register. In etwa 101.000 Geräten hätten die Forscher SSH-Schlüssel und Zugangsdaten für Administratoren entdeckt. In weiteren 2.000 seien hartcodierte Telnet-Zugänge gewesen. In 681 unterschiedlichen Firmware-Dateien von 27 Herstellern haben die Forscher in den Verzeichnissen /etc/passwd und /etc/shadow eindeutige Passwort-Hashes entdeckt, von denen sie 58 Passwörter haben auslesen können. Bei einigen habe es gar kein Passwort gegeben, bei anderen habe es sich um einfache Passwörter wie "pass", "logout" oder "helpme" gehandelt.


eye home zur Startseite
derdiedas 20. Aug 2014

Nein ist es nicht. Einzig richtig wäre, wenn der Schlüssel sich per Challenge-Response...

derdiedas 20. Aug 2014

Mann bekommt halt das was man bezahlt. Wer nur eine Döner mit 3,50Euro bezahlt kann kein...

raphaelo00 20. Aug 2014

Lehrer fragt Fritzchen: "Kannst du mir mal 5 Tiere nennen, die in Afrika leben...



Anzeige

Stellenmarkt
  1. STI - Gustav Stabernack GmbH, Lauterbach
  2. Daimler AG, Stuttgart
  3. Robert Bosch GmbH, Abstatt
  4. Rodenstock GmbH, München


Anzeige
Top-Angebote
  1. 299,00€
  2. 47,99€
  3. 29,97€

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Beleidigung generell?

    baldur | 00:35

  2. Re: leider etliche Funklöcher, wenn man mit RE1...

    devman | 00:21

  3. Re: Bei Display und Keyboard gibt's Workarounds

    Crossfire579 | 00:20

  4. Re: Warum zum Teufel wird jeder Laptop mit einem...

    zenker_bln | 00:18

  5. Re: VPN, VPN, VPN

    Isodome | 00:14


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel