Fragwürdige Transparenz: Netgear packt private Schlüssel in Firmware
Bei Netgear hat man nun auch den größten Fehler begangen, der im Einsatz von Verbindungs-Verschlüsselungen eigentlich möglich ist: Die Firmware-Entwickler haben zu den TLS-Zertifikaten für die Admin-Oberfläche auch gleich die privaten Schlüssel dazugepackt.
Die fragliche Firmware wurde teils vorinstalliert auf neuen Routern ausgeliefert und stand auch in Form von Updates zum Download bereit. Mit einiger technischer Fertigkeit konnte man die Keys aus der Software extrahieren. Auf diese Weise hatte im Grunde jedermann die Möglichkeit, eigene Krypto-Zertifikate zu erstellen, die von den Browsern problemlos und ohne Widerspruch akzeptiert wurden.
Kriminelle können eine solche Chance auf verschiedene Weise nutzen. Natürlich ist es möglich, valide wirkende Zertifikate zu fälschen und diese dann beispielsweise zu nutzen, um den Anwendern eine funktionierende sichere Verbindung vorzugaukeln. Aber auch das Kapern der Router, die mit der fraglichen Firmware und den entsprechenden Zertifikaten ausgestattet sind, ist so möglich.
Entdeckt wurde das Problem von den Sicherheitsforschern Nick Starke und Tom Pohl. Diese haben ihre Erkenntnisse nun schon fünf Tage nach einer Mitteilung an Netgear veröffent-licht. Sie haben sich hierbei für einen Alleingang entschieden, da beispielsweise die Teilnahme am Bug Bounty-Programm Netgears eine unabhängige Veröffentlichung grundsätzlich untersagt. Angesichts des bisherigen Umgangs des Unternehmens mit Sicherheitsproblemen ist dabei unklar, inwieweit und wann überhaupt Transparenz hergestellt wird. So kann nun zumindest dafür gesorgt werden, dass die Browser-Hersteller den fraglichen Zertifikaten zügig das Vertrauen entziehen.
Siehe auch: Neue Botnet-Malware kapert Home-Router verschiedener Hersteller
Kriminelle können eine solche Chance auf verschiedene Weise nutzen. Natürlich ist es möglich, valide wirkende Zertifikate zu fälschen und diese dann beispielsweise zu nutzen, um den Anwendern eine funktionierende sichere Verbindung vorzugaukeln. Aber auch das Kapern der Router, die mit der fraglichen Firmware und den entsprechenden Zertifikaten ausgestattet sind, ist so möglich.
Direkte Veröffentlichung
Eigentlich waren sie dafür vorgesehen, verschlüsselte Verbindungen zwischen dem Router und einem Browser, in dem die Admin-Oberfläche dargestellt wird, herzustellen. Und die Implementierung eines entsprechend abgesicherten Systems ist eigentlich schon längst kein Hexenwerk mehr und wird von zahlreichen Entwicklern häufig eingesetzt. Immerhin erwarten Nutzer heute zu Recht, dass sie und ihre Systeme bereits von Seiten der Hersteller aus hinreichend geschützt werden. Und auch wenn das Verfahren in den Routern ein wenig von der üblichen Konfiguration bei Webseiten abweicht, gibt es eigentlich keinen Grund, gleich die privaten Schlüssel dazuzulegen.Entdeckt wurde das Problem von den Sicherheitsforschern Nick Starke und Tom Pohl. Diese haben ihre Erkenntnisse nun schon fünf Tage nach einer Mitteilung an Netgear veröffent-licht. Sie haben sich hierbei für einen Alleingang entschieden, da beispielsweise die Teilnahme am Bug Bounty-Programm Netgears eine unabhängige Veröffentlichung grundsätzlich untersagt. Angesichts des bisherigen Umgangs des Unternehmens mit Sicherheitsproblemen ist dabei unklar, inwieweit und wann überhaupt Transparenz hergestellt wird. So kann nun zumindest dafür gesorgt werden, dass die Browser-Hersteller den fraglichen Zertifikaten zügig das Vertrauen entziehen.
Siehe auch: Neue Botnet-Malware kapert Home-Router verschiedener Hersteller
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen