Hunderttausende Geräte im Netz nutzen alle die gleichen SSL-Keys
Infografik: Die Geschichte der Kryptographie

Stefan Viehböck vom Beratungshaus SEC Consult hat sich die Firmware von über 4.000 Produkten aus den Händen von rund 70 Herstellern genauer angesehen. Dabei zeigte sich, dass eine große Menge von Produkten im Umlauf ist, die nicht nur alle den selben SSL-Schlüssel verwenden, sondern bei denen sich das auch nicht ändern lässt, weil dieser fest in die Geräte gebrannt wurde.
Zu den Spitzenreitern gehört hier ein Zertifikat, das an einen gewissen Daniel ausgestellt ist, der vermutlich beim Chiphersteller Broadcom arbeitet. Dieses wurde mit einem SDK von Broadcom ausgeliefert - wahrscheinlich zu Demo-Zwecken. Verschiedene Firmen nutzten es aber gleich für die "Absicherung" ihrer SSL-Verbindungen. Bei einem Scan im Netz wurden so rund 480.000 Geräte gefunden, die dieses Zertifikat verwenden - darunter solche von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL.
Einen ähnlichen Weg ging ein Zertifikat, das Texas Instruments mit einem SDK für ADSL2+-Router bereitstellte. Dieses fand sich auf rund 300.000 aktiv vernetzten Geräten wieder, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXEL produziert wurden.
Verschlüsselung ist unwirksam
Insgesamt wurden 900 verschiedene Produkte identifiziert, in denen solche fest verbauten Schlüssel zum Einsatz kommen. Deren Netzwerkverbindungen sind entsprechend unsicher. Ein Angreifer muss hier nur an den privaten Schlüssel gelangen, indem er diesen aus einem einzigen System extrahiert, und kann dann problemlos den Datenaustausch mitlesen.Verschärft wird das Problem dadurch, dass viele der Embedded-Geräte über aktive Verbindungen zum Internet verfügen, obwohl sie das gar nicht müssten. In den meisten Fällen dürfte es völlig ausreichen, wenn die Netzwerkverbindung aus dem lokalen Netzwerk des Anwenders direkt ansprechbar ist. Allerdings wird hier wohl häufig den Nutzern die Möglichkeit eines Remote-Managements als tolles Feature verkauft - während es aber im Wesentlichen ein zusätzliches Sicherheits-Risiko darstellt.
Diese Nachricht empfehlen
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 08:55 Uhr
USB Stick 10 stück Einklappbarer USB 2.0 Transmemory Memory Sticks

Original Amazon-Preis
27,99 €
Blitzangebot-Preis
23,79 €
Ersparnis zu Amazon 15% oder 4,20 €
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...

WinFuture Mobil

Nachrichten und Kommentare auf
dem Smartphone lesen.
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen