Durch das Internet der Dinge hat nahezu jede und jeder von uns täglichen Kontakt mit einem so genannten eingebetteten System – auf Englisch: Embedded System. Diese in anderen Geräten – wie beispielweise sogar Kühlschränken – integrierten Systeme sind meist für AnwenderInnen nicht oder nur bedingt erkennbar. Was nicht bedeutet, dass sie nicht benötigt werden. Ganz im Gegenteil: Sie werden in Zukunft immer wichtiger werden.
Das Internet der Dinge und seine unsichbaren Gefahren
Rene Schuster, 13. Juli 2016Die Software, die auf unseren Geräten läuft, ist den Benutzerinnen und Benutzern im Regelfall egal – solange das System funktioniert. Anders als bei Computern oder Smartphones, welche bei der Verfügbarkeit von neuen Funktionen die BenutzerInnen informieren, werden Updates bei eingebetteten Systemen nur durchgeführt, wenn es absolut notwendig ist. Durch dieses Versäumnis von Aktualisierungen steigt das Risiko, dass etwa Sicherheitslücken länger bestehen.
Im Zuge seiner Master-Arbeit testete Christoph Vorhauer am Studiengang “IT & Mobile Security” die – teilweise von sehr renommierten Herstellern entwickelte – Firmware von eingebetteten Systemen. Ziel der Arbeit war es, Schwachstellen in diesen Systemen aufzuspüren und zu analysieren. Zur Erreichung dieses Ziel wurde neben gängigen Methoden auch eine eigens entwickelte Applikation namens XOR – Automated Firmware Analysis verwendet.
Ergebnis einer Firmware Analyse. (© https://pixabay.com/de/netzwerk-iot-internet-der-dinge-782707/)
Das erschreckende Ergebnis dieser Analysen war, dass 14 von 24 getesteten Systemen teils schwerwiegende Schwachstellen aufwiesen. Diese setzten sich unter anderem aus statischen Passwörtern und Zertifikaten, verschiedenen Backdoors und Remote-Code-Ausführung oder der möglichen Übernahme eines Gerätes aus der Entfernung, zusammen. Seither steht Christoph Vorhauer in direktem Kontakt mit HerstellerInnen und hilft bei der Behebung dieser Lücken.
Für alle AnwenderInnen hat er den Tipp, regelmäßig nach Updates zu suchen und diese auch zu installieren, um den möglichen Bedrohungen entgegenzuwirken.
Betreut wurde die Arbeit von Klaus Gebeshuber, Lehrender am Institut Internet-Technologien & -Anwendungen.