Vernetzte Yachten: Auch schwimmende IoT-Systeme sind nicht sicher

Ein Hersteller von Yacht-Vernetzungssystemen hat offenbar nicht auf die Sicherheit geachtet. So wurden Konfigurationsdateien mit Passwörtern über eine unverschlüsselte FTP-Verbindung übertragen.

Artikel veröffentlicht am ,
Eine Yacht (Symbolbild)
Eine Yacht (Symbolbild) (Bild: Mohamed El-Sahed/AFP/Getty Images)

Moderne Luxusyachten haben zahlreiche Sensoren, Multimediasysteme und andere vernetzte Komponenten. Leider sind diese in vielen Fällen ebenso wenig gesichert wie Kameras, Kaffeemaschinen oder smarte Toaster, wie der Sicherheitsforscher Stephan Gerling auf der Troopers in Heidelberg sagte. Gerling arbeitet für die Sicherheitsfirma Rosen Group, seinen Vortrag hielt er auch auf Kasperskys Hausmesse Security Analyst Summit in Cancun.

Stellenmarkt
  1. IT-Supporter (m/f/d)
    GCP - Grand City Property, Berlin
  2. Process Manager Fulfillment (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen
Detailsuche

Die Systeme der modernen Yachten können in vielen Fällen über Tablet- oder Smartphone-Apps gesteuert werden. Dabei gibt es jedoch Probleme. So fand Gerling heraus, dass eine der Apps eine XML-Datei mit der gesamten Routerkonfiguration unverschlüsselt über eine ungesicherte FTP-Verbindung herunterlud. In der XML-Datei waren neben der SSID des Yacht-WLANs auch das Passwort gespeichert. Angreifer könnten eine solche Verbindung mit sehr einfachen Mitteln abhören.

Nachdem Gerling dem Hersteller die Probleme gemeldet hatte, änderte diese das Übertragungsprotokoll auf SSH und entwickelte neue Firmware. Das unsichere Standardkennwort "12345678" wurde allerdings nur durch eine etwas komplizierte Variante ersetzt. Verständnis für sichere Softwareentwicklung sieht anders aus.

Zahlreiche weitere Steuerungssysteme

Neben den Medienkomponenten enthalten die Schiffe natürlich auch Geräte zur Steuerung (Vessel Traffic Service, VTS), GPS-Empfänger, und Komponenten zur Motorsteuerung. Diese Geräte werden alle über den National-Marine-Electronics-Association-Standard (NMEA) angesprochen, der Ähnlichkeiten zum CAN-Bus im Auto hat. In vielen Schiffen sind die NMEA-Geräte über ein Gateway mit der normalen Internetanbindung des Schiffes verbunden und könnten so zum Ziel für Angreifer werden.

Golem Karrierewelt
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
Weitere IT-Trainings

Für Käufer solcher meist sehr teuren Schiffe sind die verbaute Elektronik und die dahinter liegenden Lösungen meist nicht transparent.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


jsm 22. Mär 2018

Warum sollte auch der Fakt das etwas schwimmt irgend etwas an der Sicherheit ändern? Eine...

maci23 22. Mär 2018

Ich meine der Gesetzgeber soll sich Gedanken über die Rahmenbedingungen machen. Also zB...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /