Hunderttausende Geräte im Netz nutzen alle die gleichen SSL-Keys

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Es mag ein guter Ansatz sein, wenn Hersteller von Embedded-Geräten die Netzwerkverbindung ihrer Produkte verschlüsseln. Allerdings muss die Integration von Kryptographie eben auch ordentlich umgesetzt sein. In zahlreichen Fällen fand ein Sicherheitsforscher aber haarsträubende Konstruktionen.
Infografik: Die Geschichte der KryptographieDie Geschichte der Kryptographie
Stefan Viehböck vom Beratungshaus SEC Consult hat sich die Firmware von über 4.000 Produkten aus den Händen von rund 70 Herstellern genauer angesehen. Dabei zeigte sich, dass eine große Menge von Produkten im Umlauf ist, die nicht nur alle den selben SSL-Schlüssel verwenden, sondern bei denen sich das auch nicht ändern lässt, weil dieser fest in die Geräte gebrannt wurde.

Zu den Spitzenreitern gehört hier ein Zertifikat, das an einen gewissen Daniel ausgestellt ist, der vermutlich beim Chiphersteller Broadcom arbeitet. Dieses wurde mit einem SDK von Broadcom ausgeliefert - wahrscheinlich zu Demo-Zwecken. Verschiedene Firmen nutzten es aber gleich für die "Absicherung" ihrer SSL-Verbindungen. Bei einem Scan im Netz wurden so rund 480.000 Geräte gefunden, die dieses Zertifikat verwenden - darunter solche von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL.

Einen ähnlichen Weg ging ein Zertifikat, das Texas Instruments mit einem SDK für ADSL2+-Router bereitstellte. Dieses fand sich auf rund 300.000 aktiv vernetzten Geräten wieder, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXEL produziert wurden.

Verschlüsselung ist unwirksam

Insgesamt wurden 900 verschiedene Produkte identifiziert, in denen solche fest verbauten Schlüssel zum Einsatz kommen. Deren Netzwerkverbindungen sind entsprechend unsicher. Ein Angreifer muss hier nur an den privaten Schlüssel gelangen, indem er diesen aus einem einzigen System extrahiert, und kann dann problemlos den Datenaustausch mitlesen.

Verschärft wird das Problem dadurch, dass viele der Embedded-Geräte über aktive Verbindungen zum Internet verfügen, obwohl sie das gar nicht müssten. In den meisten Fällen dürfte es völlig ausreichen, wenn die Netzwerkverbindung aus dem lokalen Netzwerk des Anwenders direkt ansprechbar ist. Allerdings wird hier wohl häufig den Nutzern die Möglichkeit eines Remote-Managements als tolles Feature verkauft - während es aber im Wesentlichen ein zusätzliches Sicherheits-Risiko darstellt. Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain
Diese Nachricht empfehlen
Kommentieren7
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 15:45 Uhr Xnuoyo Tragbares Ladegerät, Mini Power Banks 10000mAh Ultrakompakte Power Bank mit Zwei EIN- und Ausgängen Externer Akku Kompatibel mit den Meisten Smart PhonesXnuoyo Tragbares Ladegerät, Mini Power Banks 10000mAh Ultrakompakte Power Bank mit Zwei EIN- und Ausgängen Externer Akku Kompatibel mit den Meisten Smart Phones
Original Amazon-Preis
12,99
Im Preisvergleich ab
12,99
Blitzangebot-Preis
11,04
Ersparnis zu Amazon 15% oder 1,95
Im WinFuture Preisvergleich
JINXJ 12,99 €
1 Angebote im WinFuture.de Preisvergleich
Alle Amazon Blitzangebote

Beliebte Downloads

Weitere Downloads

Video-Empfehlungen

Beliebt im Preisvergleich

Antivirus Preisvergleich

Neue Nachrichten

Themen-Übersicht

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Christian Kahle

Redakteur bei WinFuture

Ich empfehle ...
Christian Kahle

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Tipp einsenden

Hinweise zum Einsenden von Tipps