Schwere Lücken in Realtek-Chips:
Hunderttausende Geräte betroffen

Es ist eine kritische Sicherheitslücke, die über 65 Hersteller be­trifft: Sicherheitsforscher warnen vor einem Bauteil von Real­tek, das in Routern, Repeatern, Druckern und hun­dert­tau­sen­den an­de­ren IoT-Geräten zum Einsatz kommt und weit­rei­chen­de An­grif­fe ermöglicht.

Weil Realtek überall verbaut wird, sind Lücken sehr weit verbreitet

Hersteller setzen für ihre Geräte natürlich auch auf die Bauteile von unzähligen Zulieferern. Der Realtek-Chipsatz RTL819xD ist ein sehr weit verbreitetes Modul, mit dem IoT-Geräte mit Drahtlos-Funktionen ausgerüstet werden können. Wegen der weiten Verbreitung hatte IoT-Inspector jüngst eine genaue Analyse des Bauteils durchgeführt und dabei "mehr als ein dutzend" Sicherheitslücken entdeckt, die im Zusammenhang mit verwundbaren Software Development Kits (SDKs) des Herstellers stehen.

"Wir haben diese Schwachstelle, die hunderttausende von Geräten umfasst, gefunden und analysiert. Realtek wurde von uns benachrichtigt und hat sofort reagiert und einen passenden Patch zur Verfügung gestellt. Hersteller, die verwundbare Wi-Fi Module einsetzen, sind dringend dazu angehalten, ihre Geräte zu überprüfen und ihren Anwendern Sicherheitspatches zur Verfügung zu stellen", so Florian Lukavsky, Geschäftsführer von IoT Inspector laut IT-Daily. Auch Realtek stellt einen entsprechenden Sicherheits-Hinweis bereit.

Hersteller müssen aktiv werden

Wie die Sicherheitsexperten ausführen, reichen die betroffenen Geräte von Gateways über Router, Wi-Fi-Repeater und IP-Kameras bis hin zu "Spielzeug mit Drahtlos-Anbindungen". Man habe mindestens 65 verschiedene betroffene Anbieter identifiziert, hier nennt man "Asus, Belkin, D-Link, Edimax, Hama, Logitec und Netgear und viele weitere".

IoT Inspector sieht in dem Vorfall ein Paradebeispiel für die chronischen Sicherheits-Probleme, die mit "undurchsichtigen IoT-Lieferketten" entstehen können. Bei Realtek seien "dutzende kritischer Sicherheitsprobleme in der Codebasis (vom 2.x-Zweig über das "Jungle"-SDK bis zum "Luna"-SDK)" mehr als ein Jahrzehnt lang unangetastet geblieben. Hersteller würden es wiederum versäumen, ihre Lieferkette ausreichend zu validieren und so "Schwachstellen an Hunderttausende von Endkunden weitergeben".