Der Prozessorhersteller Microsemi bestreitet, eine Hintertür in einen militärisch genutzten Halbleiter eingebaut zu haben. Doktorand und Forscher Sergei Skorobogatov von der britischen Universität Cambridge hatte die Sicherheitslücke entdeckt. Zunächst fiel ein Verdacht auf den chinesischen Herstellungspartner von Microsemi; Skorobogatov sagte später aber ZDNet Australia, der US-Hersteller sei vielmehr für die Sicherheitslücke verantwortlich.
Dem Forscher aus Cambridge ist es nach eigenen Angaben gelungen, einen Schlüssel zu extrahieren, mit dem eine Umprogrammierung des Halbleiters möglich ist. Microsemi sagt nun, es könne dies weder bestätigen noch abstreiten, da Skorobogatov es nicht kontaktiert habe. Seine Ausrüstung und Methoden seien Microsemi nach wie vor unbekannt.
Der Microsemi/Actel ProASIC3 ist ein „Field Programmable Gate Array“, kurz FPGA, also ein programmierbarer integrierter Schaltkreis. Mit dem Schlüssel kann man ihn angeblich abschalten oder beliebig umprogrammieren, selbst wenn er von einem Nutzer mit dessen Schlüssel gesperrt ist.
Außerdem gibt Microsemi an, dass es „die interne Testeinrichtung in finaler Hardware abstellt“. Damit seien Diskussionen, ob ein solcher Debugging-Zugang als Hintertür zu werten sei, hinfällig. Kunden könnten den FPGA außerdem auf die höchste Sicherheitsstufe stellen, die selbst den Testzugang abschalte.
Offen ist noch die Frage, wie Skorobogatov die Hintertür öffnen konnte. Microsemi vermutet, dass er eben doch nicht die für den Militäreinsatz freigegebene Version des Chips untersucht hat. Der Forscher entgegnet, Microsemi habe vielleicht einfach nicht gewusst, was Actel zum Entwicklungszeitpunkt (zwischen 2002 und 2005) in den Prozessor packte. Zur Übernahme von Actel durch Microsemi war es erst 2010 gekommen.
In der Tat existiert ein Sicherheitsdokument (PDF) von Actel aus der Zeit vor der Übernahme, das einen auf der gleichen Technik basierenden Halbleiter mit Hintertür beschreibt. Darin heißt es, dass eine Sperre bei kritischen Anwendungen möglicherweise kein ausreichender Schutz sei.
[mit Material von Michael Lee, ZDNet Australia]
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.