Software, die PDAs, Heim-Router oder auch Handys betreibt, stelle eine riesige Sicherheitsbedrohung dar, weil diese Betriebssysteme sehr viele Lecks haben. Das erklärte Barnaby Jack, ein Sicherheitsexperte des Netzwerkspezialisten Juniper Networks, im Rahmen einer Veranstaltung auf der Konferenz CanSecWest im kanadischen Vancouver.
Er demonstrierte, wie einfach es für Hacker sei, ein Sicherheitsleck auf solchen Geräten auszunutzen. Dazu führte er vor Zuschauern eine Attacke auf einen D-Link-Router über ein bislang noch nicht behobenes Leck durch.
Zwar brauchte Jack für den Hack eine direkte Verbindung mit dem Gerät, doch konnte er den Passwortschutz umgehen und die Kontrolle über den Router übernehmen. Anschließend lud er ein Programm hoch, das den Datenverkehr auf dem Router aushorchte. Laut Jack existieren auch zahlreiche Lecks, die angeblich über das Internet ausgenutzt werden können.
“Sicherheitslecks auf solchen Geräten gibt es zu hauf”, so Jack. Er fordert zudem, dass die Sicherheit nicht beim Home-PC enden dürfe. “Unsichere Geräte stellen eine Bedrohung für das gesamte Netz dar.” Daher müssten die Hersteller solcher Hardware mehr Wert auf Sicherheit legen, so Jack weiter.
Bislang zeigten Forscher und Hacker für Lecks auf diesen Geräten wenig Interesse. Doch das scheint sich zu ändern. Immer mehr Hacker versuchen, Geräte, die mit Microprozessoren wie PowerPC, Xscale, ARM oder MIPS ausgerüstet sind, für ihre Zwecke zu missbrauchen.
In den Betriebsprogrammen, die Jack untersucht habe, konnte der Sicherheitsspezialist zum Beispiel zahlreiche so genannte ‘Null Pointer’ entdecken. Das sind Lecks, die auf dem PC so gut wie keine Rolle mehr spielen. Jedoch lassen sie sich ähnlich ausnutzen, wie ein Buffer- oder Heap-Overflow. Dabei könnten in einem leeren Speicherplatz Befehle direkt in eine Software oder ein Betriebssystem eingegeben werden. So sei es möglich, die Kontrolle über einen Router, Handy oder PDA zu übernehmen.
Um solche Lücken zu entdecken, muss die Software von den betreffenden Geräten heruntergeladen werden. Das ist über Schnittstellen wie der Joint Test Action Group (JTAG) oder dem Universal Asynchronous Reciver Transmitter (UART) möglich. Diese Schnittstellen seien meist auf den Geräten enthalten und frei zugänglich. Teilweise sei die Software für diese Geräte auch über das Internet verfügbar. Um die Experimentierfreude der Hacker etwas einzudämmen, sollten Hersteller diese Schnittstellen besser vor unerlaubtem Zugriff schützen, fordert Jack.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.