Hunderttausende Geräte im Netz nutzen alle die gleichen SSL-Keys

Es mag ein guter Ansatz sein, wenn Hersteller von Embedded-Geräten die Netzwerkverbindung ihrer Produkte verschlüsseln. Allerdings muss die Integration von Kryptographie eben auch ordentlich umgesetzt sein. In zahlreichen Fällen fand ein Sicherheitsforscher aber haarsträubende Konstruktionen.
Infografik: Die Geschichte der KryptographieDie Geschichte der Kryptographie
Stefan Viehböck vom Beratungshaus SEC Consult hat sich die Firmware von über 4.000 Produkten aus den Händen von rund 70 Herstellern genauer angesehen. Dabei zeigte sich, dass eine große Menge von Produkten im Umlauf ist, die nicht nur alle den selben SSL-Schlüssel verwenden, sondern bei denen sich das auch nicht ändern lässt, weil dieser fest in die Geräte gebrannt wurde.

Zu den Spitzenreitern gehört hier ein Zertifikat, das an einen gewissen Daniel ausgestellt ist, der vermutlich beim Chiphersteller Broadcom arbeitet. Dieses wurde mit einem SDK von Broadcom ausgeliefert - wahrscheinlich zu Demo-Zwecken. Verschiedene Firmen nutzten es aber gleich für die "Absicherung" ihrer SSL-Verbindungen. Bei einem Scan im Netz wurden so rund 480.000 Geräte gefunden, die dieses Zertifikat verwenden - darunter solche von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL.

Einen ähnlichen Weg ging ein Zertifikat, das Texas Instruments mit einem SDK für ADSL2+-Router bereitstellte. Dieses fand sich auf rund 300.000 aktiv vernetzten Geräten wieder, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXEL produziert wurden.

Verschlüsselung ist unwirksam

Insgesamt wurden 900 verschiedene Produkte identifiziert, in denen solche fest verbauten Schlüssel zum Einsatz kommen. Deren Netzwerkverbindungen sind entsprechend unsicher. Ein Angreifer muss hier nur an den privaten Schlüssel gelangen, indem er diesen aus einem einzigen System extrahiert, und kann dann problemlos den Datenaustausch mitlesen.

Verschärft wird das Problem dadurch, dass viele der Embedded-Geräte über aktive Verbindungen zum Internet verfügen, obwohl sie das gar nicht müssten. In den meisten Fällen dürfte es völlig ausreichen, wenn die Netzwerkverbindung aus dem lokalen Netzwerk des Anwenders direkt ansprechbar ist. Allerdings wird hier wohl häufig den Nutzern die Möglichkeit eines Remote-Managements als tolles Feature verkauft - während es aber im Wesentlichen ein zusätzliches Sicherheits-Risiko darstellt. Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:10 Uhr OneOdio Over Ear Kopfhörer mit Kabel, HiFi Studiokopfhörer mit Hi-Res, 50mm Treiber, Share-Port, Große Ohrmuscheln, 6,35 & 3,5mm Klinke, Geschlossene DJ Headphones für Podcast, Handy, PC (Pro 50)OneOdio Over Ear Kopfhörer mit Kabel, HiFi Studiokopfhörer mit Hi-Res, 50mm Treiber, Share-Port, Große Ohrmuscheln, 6,35 & 3,5mm Klinke, Geschlossene DJ Headphones für Podcast, Handy, PC (Pro 50)
Original Amazon-Preis
46,99
Im Preisvergleich ab
?
Blitzangebot-Preis
39,94
Ersparnis zu Amazon 15% oder 7,05
Nur bei Amazon erhältlich
Amazon.de 39,94 €
Alle Amazon Blitzangebote

Neueste Downloads

Mehr Downloads

Video-Empfehlungen

Beliebt im Preisvergleich

Antivirus Preisvergleich

Neue Nachrichten

Themen-Übersicht

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Christian Kahle

Redakteur bei WinFuture

Ich empfehle ...
Christian Kahle

Tipp einsenden

Hinweise zum Einsenden von Tipps

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!