Abo
  • Services:
Anzeige
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras.
Forscher haben Sicherheitslücken in mehreren tausend Geräten gefunden, unter anderem auch in Überwachungskameras. (Bild: Maximilian Schönherr/CC BY-SA 3.0)

Vernetzte Geräte: Tausende Sicherheitslücken entdeckt

In mehr als 140.000 vernetzten Geräten haben Forscher teils schwerwiegende Sicherheitslücken entdeckt, darunter Zero-Day-Exploits, hartcodierte Passwörter und private Schlüssel.

Anzeige

In mehr als 32.000 Firmware-Images, die in tausenden Geräten stecken, haben Forscher teils schwerwiegende Sicherheitslücken entdeckt. Sie reichen von Zero-Day-Lücken bis hin zu offenen Zugangsdaten und privaten Schlüsseln. Laut den vier Forschern von der französischen Universität Institut Eurécom sind mehr als 140.000 Router oder Überwachungskamerasysteme betroffen.

Andrei Costin, Jonas Zaddach, Aurélien Francillon und Davide Balzarotti haben für ihre Forschung ein automatisiertes Verfahren entwickelt, mit dem sie 32.356 Firmware-Images verschiedener Geräte untersucht haben. Sie nutzten dabei Werkzeuge wie Binwalk, FRAK und BAT. Damit ließen sich 20 Prozent mehr proprietäre Geräte untersuchen als bisherige vergleichbare Studien, so die Forscher. Außerdem empfehlen sie den Einsatz des Werkzeugs Bitshred samt Mapreduce auf Hadoop.

Die entpackten Images ergaben insgesamt mehr als 1,7 Millionen Dateien. Hatten die Forscher in einer Firmware eine Lücke entdeckt, überprüften sie mit ihrem Verfahren andere Dateien auf ähnliche Schwachstellen. Ihre Herangehensweise und Ergebnisse wollen die vier Forscher unter dem Namen "A Large-Scale Analysis of the Security of Embedded Firmwares" auf der Konferenz für IT-Sicherheit Usenix 2014 vorstellen.

Eine Ursache für viele Fehler

Viele der Schwachstellen hätten beispielsweise eine gemeinsame Quelle, etwa einen Fehler in der SDK oder in anderen Werkzeugen von Softwareherstellern, die ihre Produkte dann unter einem anderen Namen an weitere Hardwarehersteller lizenzierten, so die Forscher. So hätten sie den gleichen Fehler in völlig verschiedenen Überwachungskameras entdeckt, deren Firmware in leicht veränderter Form von einem einzigen Unternehmen erstellt wurde. Viele Hardwarehersteller wüssten gar nicht, woher die Firmware stammt. Angreifer hingegen könnten auf Grund eines einzigen gefundenen Fehlers mehrere Geräte angreifen.

Auch die Vielfalt der Schwachstellen hätte die Forscher überrascht, schreibt The Register. In etwa 101.000 Geräten hätten die Forscher SSH-Schlüssel und Zugangsdaten für Administratoren entdeckt. In weiteren 2.000 seien hartcodierte Telnet-Zugänge gewesen. In 681 unterschiedlichen Firmware-Dateien von 27 Herstellern haben die Forscher in den Verzeichnissen /etc/passwd und /etc/shadow eindeutige Passwort-Hashes entdeckt, von denen sie 58 Passwörter haben auslesen können. Bei einigen habe es gar kein Passwort gegeben, bei anderen habe es sich um einfache Passwörter wie "pass", "logout" oder "helpme" gehandelt.


eye home zur Startseite
derdiedas 20. Aug 2014

Nein ist es nicht. Einzig richtig wäre, wenn der Schlüssel sich per Challenge-Response...

derdiedas 20. Aug 2014

Mann bekommt halt das was man bezahlt. Wer nur eine Döner mit 3,50Euro bezahlt kann kein...

raphaelo00 20. Aug 2014

Lehrer fragt Fritzchen: "Kannst du mir mal 5 Tiere nennen, die in Afrika leben...



Anzeige

Stellenmarkt
  1. Deutsche Bundesstiftung Umwelt, Osnabrück
  2. Bertrandt Services GmbH, Ulm
  3. M-net Telekommunikations GmbH, München
  4. Fresenius Netcare GmbH, Bad Homburg


Anzeige
Hardware-Angebote
  1. (Core i5-7600K + Asus GTX 1060 Dual OC)
  2. 65,89€ (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Data Center-Modernisierung für mehr Performance und


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

  1. Re: Wann wird es wieder freigeschaltet?

    Sicaine | 18:37

  2. Re: Mod für Ark

    nachgefragt | 18:25

  3. Re: Langweiliger Einheitsbrei für die breite Masse

    nachgefragt | 18:18

  4. Re: Dummes Argument von Unitymidia.

    plutoniumsulfat | 18:08

  5. Re: Verkaufscharts

    nachgefragt | 18:04


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel