IoT-Firmware schon vor Rollout auf Verwundbarkeiten überprüfen

Die Sicherheit von IoT-Firmware wird nach wie vor stark vernachlässigt, obwohl bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden.

Erst vor wenigen Wochen konnte das Forscher-Team rund um den IoT Inspector durch einen automatisierten Scan auf mehreren Zyxel WLAN Access Points der Serie NWA, NAP und WAC einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort identifizieren. Diese Anmeldedaten können von Unbefugten dazu verwendet werden, sich in den FTP-Server des Access Points einzuloggen und die gesamte WLAN-Konfiguration, also alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.

„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, so Rainer M. Richter, Director Channel beim IoT Inspector. „Dafür ist letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem IoT Inspector nötig. Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwendiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout. Diese Rechnung sollten sich die Hersteller stets vor Augen halten.“