Hunderttausende Geräte im Netz nutzen alle die gleichen SSL-Keys
Infografik: Die Geschichte der Kryptographie
Stefan Viehböck vom Beratungshaus SEC Consult hat sich die Firmware von über 4.000 Produkten aus den Händen von rund 70 Herstellern genauer angesehen. Dabei zeigte sich, dass eine große Menge von Produkten im Umlauf ist, die nicht nur alle den selben SSL-Schlüssel verwenden, sondern bei denen sich das auch nicht ändern lässt, weil dieser fest in die Geräte gebrannt wurde.
Zu den Spitzenreitern gehört hier ein Zertifikat, das an einen gewissen Daniel ausgestellt ist, der vermutlich beim Chiphersteller Broadcom arbeitet. Dieses wurde mit einem SDK von Broadcom ausgeliefert - wahrscheinlich zu Demo-Zwecken. Verschiedene Firmen nutzten es aber gleich für die "Absicherung" ihrer SSL-Verbindungen. Bei einem Scan im Netz wurden so rund 480.000 Geräte gefunden, die dieses Zertifikat verwenden - darunter solche von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL.
Einen ähnlichen Weg ging ein Zertifikat, das Texas Instruments mit einem SDK für ADSL2+-Router bereitstellte. Dieses fand sich auf rund 300.000 aktiv vernetzten Geräten wieder, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXEL produziert wurden.
Verschlüsselung ist unwirksam
Insgesamt wurden 900 verschiedene Produkte identifiziert, in denen solche fest verbauten Schlüssel zum Einsatz kommen. Deren Netzwerkverbindungen sind entsprechend unsicher. Ein Angreifer muss hier nur an den privaten Schlüssel gelangen, indem er diesen aus einem einzigen System extrahiert, und kann dann problemlos den Datenaustausch mitlesen.Verschärft wird das Problem dadurch, dass viele der Embedded-Geräte über aktive Verbindungen zum Internet verfügen, obwohl sie das gar nicht müssten. In den meisten Fällen dürfte es völlig ausreichen, wenn die Netzwerkverbindung aus dem lokalen Netzwerk des Anwenders direkt ansprechbar ist. Allerdings wird hier wohl häufig den Nutzern die Möglichkeit eines Remote-Managements als tolles Feature verkauft - während es aber im Wesentlichen ein zusätzliches Sicherheits-Risiko darstellt.
Thema:
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen