Fragwürdige Transparenz: Netgear packt private Schlüssel in Firmware

Statue, Facepalm, Verzweiflung Bildquelle: Alex E. Proimos (CC BY 2.0)
Bei Netgear hat man nun auch den größten Fehler begangen, der im Ein­satz von Verbindungs-Verschlüsselungen eigentlich möglich ist: Die Firm­ware-Entwickler haben zu den TLS-Zertifikaten für die Admin-Oberfläche auch gleich die privaten Schlüssel dazugepackt. Die fragliche Firmware wurde teils vorinstalliert auf neuen Routern ausgeliefert und stand auch in Form von Updates zum Download bereit. Mit einiger technischer Fertigkeit konnte man die Keys aus der Software extrahieren. Auf diese Weise hatte im Grunde jedermann die Möglichkeit, eigene Krypto-Zertifikate zu erstellen, die von den Browsern problemlos und ohne Widerspruch akzeptiert wurden.

Kriminelle können eine solche Chance auf verschiedene Weise nutzen. Natürlich ist es mög­lich, valide wirkende Zertifikate zu fälschen und diese dann beispielsweise zu nutzen, um den Anwendern eine funktionierende sichere Verbindung vorzugaukeln. Aber auch das Kapern der Router, die mit der fraglichen Firmware und den entsprechenden Zertifikaten aus­ge­stat­tet sind, ist so möglich.

Direkte Veröffentlichung

Eigentlich waren sie dafür vorgesehen, ver­schlüs­selte Ver­bin­dun­gen zwischen dem Router und einem Browser, in dem die Admin-Ober­flä­che dargestellt wird, her­zu­stel­len. Und die Im­ple­men­tierung eines entsprechend abgesi­cher­ten Systems ist eigentlich schon längst kein He­xen­werk mehr und wird von zahlreichen Ent­wick­lern häufig eingesetzt. Immerhin er­war­ten Nutzer heute zu Recht, dass sie und ihre Sys­te­me bereits von Seiten der Hersteller aus hin­rei­chend geschützt werden. Und auch wenn das Verfahren in den Routern ein wenig von der üb­li­chen Konfiguration bei Webseiten abweicht, gibt es eigentlich keinen Grund, gleich die privaten Schlüssel dazuzulegen.

Entdeckt wurde das Problem von den Sicherheitsforschern Nick Starke und Tom Pohl. Diese haben ihre Erkenntnisse nun schon fünf Tage nach einer Mitteilung an Netgear ver­öf­fent-­licht. Sie haben sich hierbei für einen Alleingang entschieden, da beispielsweise die Teil­nah­me am Bug Bounty-Programm Netgears eine unabhängige Veröffentlichung grund­sätz­lich untersagt. Angesichts des bisherigen Umgangs des Unternehmens mit Sicherheitsproblemen ist dabei unklar, inwieweit und wann überhaupt Transparenz hergestellt wird. So kann nun zumindest dafür gesorgt werden, dass die Browser-Hersteller den fraglichen Zertifikaten zügig das Vertrauen entziehen.

Siehe auch: Neue Botnet-Malware kapert Home-Router verschiedener Hersteller Statue, Facepalm, Verzweiflung Statue, Facepalm, Verzweiflung Alex E. Proimos (CC BY 2.0)
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 14:20 Uhr SoundMagic E80C High Fidelity Kopfhörer Smartphone Earbuds In Ear Noise Reduction Ohrhörer mit Mikrofon und Fernbedienung für AudiophileSoundMagic E80C High Fidelity Kopfhörer Smartphone Earbuds In Ear Noise Reduction Ohrhörer mit Mikrofon und Fernbedienung für Audiophile
Original Amazon-Preis
59,99
Im Preisvergleich ab
59,99
Blitzangebot-Preis
50,14
Ersparnis zu Amazon 16% oder 9,85

Video-Empfehlungen

Tipp einsenden