Original-URL des Artikels: https://www.golem.de/news/peinlich-d-link-vergisst-private-code-signing-schluessel-im-quellcode-1509-116386.html    Veröffentlicht: 18.09.2015 11:25    Kurz-URL: https://glm.io/116386

Sicherheitslücke

D-Link vergisst private Code-Signing-Schlüssel im Quellcode

Dem Hardwarehersteller D-Link ist ein peinlicher Fehler unterlaufen. Im Quellcode der Firmware für eine Überwachungskamera vergaßen die Entwickler private Code-Signing-Schlüssel. Der Hersteller hat bereits reagiert.

Der Hersteller D-Link hat im Quellcode einer Firmware-Version für seine Sicherheitskamera DCS-5020L private Code-Signing-Schlüssel vergessen. Diese könnten von Angreifern missbraucht werden. Mittlerweile gibt es eine neue Version der Firmware - ohne die privaten Schlüssel.

Der norwegische Sicherheitsforscher Bartvbl hatte den Firmware-Quellcode seiner neuen Sicherheitskamera untersucht und dabei vier Code-Signing-Schlüssel gefunden, von denen jedoch nur einer funktionierte. Mit diesen Schlüsseln gelang es ihm, ein Windows-Programm zu erstellen und es mit einem der Schlüssel zu signieren. Die Software sah nach der Prozedur nach einer legitimen Anwendung von D-Link aus - bösartige Angreifer könnten dies ausnutzen und Nutzern gefälschte Programme und Malware unterschieben.

Forscher der holländischen Sicherheitsfirma Fox-IT bestätigten den Fund auf dem niederländischen Tech-Protal Tweakers. Es handele sich tatsächlich um ein Code-Signing-Zertifikat in der Firmware-Version 1.00.b03. Die Software wurde am 27. Februar 2015 veröffentlicht.

Mittlerweile hat D-Link die Zertifikate zurückgezogen und eine neue Version der Firmware veröffentlicht. Die Entdeckung war möglich, weil D-Link seine Software seit vielen Jahren unter der GPL veröffentlicht.  (hg)


Verwandte Artikel:
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Browser: Update der Ask.com-Toolbar verteilt Malware   
(20.03.2017, https://glm.io/126827 )
Heartbleed: Keys auslesen ist einfacher als gedacht   
(12.04.2014, https://glm.io/105825 )
Ubisoft: Big-Data-KI entdeckt Bugs beim Programmieren   
(06.03.2018, https://glm.io/133162 )
Ghostscript: Vertragsverletzung in GPL-Klage wird nicht entschieden   
(12.12.2017, https://glm.io/131623 )

© 1997–2019 Golem.de, https://www.golem.de/