Mobiltelefone, PDAs, Router und andere elektronische Geräte mit Embedded-Software stellen laut Barnaby Jack, einem Sicherheitsexperten bei Juniper Networks, eine erhebliche Sicherheitsbedrohung dar. Die Betriebssysteme, unter denen diese Produkte laufen, wiesen riesige Lücken auf, wodurch ein Hack problemlos durchführbar sei. Im Rahmen der Konferenz Cansecwest im kanadischen Vancouver demonstrierte der Experte, wie Hacker diese Lecks ausnutzen.
„Auf derartigen Geräten sind Sicherheitslücken in Hülle und Fülle vorhanden“, sagt Jack. Sicherheit müsse über den PC hinausgehen. „Ein unsicheres Gerät stellt für das gesamte Netzwerk ein Problem dar. Hardwareanbieter müssen Sicherheitsfragen stärker in Betracht ziehen.“ Um seine Kritik zu untermauern, zeigte er, wie einfach es Hackern gemacht wird.
Dazu attackierte er einen Router des Unternehmens D-Link, der ein bislang noch nicht behobenes Leck aufweist. Zwar musste der Experte in diesem Fall eine direkte Verbindung mit dem Gerät herstellen, anschließend war es allerdings problemlos möglich, das Passwort zu umgehen, die Kontrolle zu übernehmen und ein Spionage-Programm hochzuladen. Laut Jack existieren sehr viele Lücken dieser Art, die auch über das Internet ausgenutzt werden können.
Die von Jack untersuchten Systeme wiesen beispielsweise zahlreiche so genannte „Null Pointer“ auf. Diese Lecks lassen sich ähnlich ausnutzen wie ein Buffer- oder Heap-Overflow: Befehle werden direkt in das Betriebssystem geschrieben, wodurch der Angreifer die Kontrolle über das attackierte Gerät erhalten kann. Bislang interessierten sich Hacker wie auch Forscher kaum für diese Geräte. Das ändere sich allerdings gerade, da Hacker zunehmend versuchten, Geräte mit Mikroprozessoren wie Power-PC, Xscale, ARM oder MIPS zu knacken und für ihre Zwecke zu missbrauchen, so Jack.
Die Lückensuche eines Hackers beginnt mit der Analyse des Betriebssystems des betroffenen Gerätes. Dieses kann über die zumeist ungesicherten Schnittstellen wie JTAG (Joint Test Action Group) und UART (Universal Asynchronous Reciver Transmitter) ausgelesen werden. Als Sofortmaßnahme empfiehlt Jack den Herstellern der Geräte, diese Zugriffsmöglichkeiten besser abzusichern.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…