Computerfabrikant heeft enorme fouten gemaakt door embedded systemen naar alle gebruikers over de hele wereld te verzenden, de apparaten hebben SSH- en TLS-privésleutels hard gecodeerd, niet alleen het computersysteem is aangetast, maar ook verschillende apparaten bevatten dezelfde hardgecodeerde SSH als Secure Shell-hostingsleutels .
Een groot aantal switches, modems, IP-camera’s, VoIP-telefoons en andere geïnstalleerde gadgets hebben dezelfde hardgecodeerde SSH-hostsleutels (Secure Shell) of HTTPS-servers (HTTP Secure), zo blijkt uit een onderzoek. Door die sleutels eruit te halen, kunnen programmeurs mogelijk man-in-the-center-aanvallen sturen om beweging in het midden van clients en een groot aantal gadgets te blokkeren en te decoderen.
Analisten van beveiligingsbedrijf SEC Consult hebben firmwarefoto’s afgebroken voor meer dan 4.000 modellen van geplaatste gadgets van meer dan 70 producenten. Daarin vonden ze meer dan 580 interessante privésleutels voor SSH en HTTPS, waarvan een aanzienlijk deel werd gedeeld tussen verschillende gadgets van dezelfde verkoper of zelfs van verschillende. Terwijl ze die 580 sleutels relateerden aan informatie van open internetonderzoeken, ontdekten ze dat niet minder dan 230 sleutels effectief worden gebruikt door meer dan 4 miljoen internetgerelateerde gadgets. Ongeveer 150 van de HTTPS-serverdeclaraties die ze hebben terugverdiend, worden gebruikt door 3,2 miljoen gadgets en 80 van de SSH-hostsleutels worden gebruikt door 900.000 gadgets.
Miljoenen apparaten zijn kwetsbaar voor hacken
De resterende sleutels kunnen worden gebruikt door tal van verschillende gadgets die niet via internet kunnen worden bereikt, maar zijn nog steeds hulpeloos tegen man-in-the-center-aanvallen in hun individuele buurt. SSH-hostsleutels worden gebruikt om de persoonlijkheid te controleren van een gadget waarop een SSH-server draait. Op het moment dat klanten verrassend genoeg met zo’n gadget communiceren via de vervormde SSH-conventie, worden ze ertoe aangezet om de open sleutel van het gadget te sparen, wat een onderdeel is van een open privésleutelpaar.
Bij resulterende associaties wordt het karakter van de server natuurlijk gecontroleerd, rekening houdend met de algemene populatiesleutel die is weggezet op de SSH-klant van de klant en de privésleutel die is weggezet op de gadget. In het geval dat een aanvaller de SSH-host-privésleutel van de gadget neemt en in een positie is om de associatie-inspanningen van de klant vast te leggen, kan hij de gadget imiteren en de pc van de klant in de val lokken om met zijn machine te praten.
Een vergelijkende aanval is denkbaar als aanvallers toegang krijgen tot de HTTPS-privé-authenticatie van een gadget, die wordt gebruikt om correspondentie tussen klanten en de webgebaseerde beheerinterface te coderen. Bovendien, als aanvallers gecodeerde HTTPS-activiteit in het midden van clients en een echt blauw gadget kunnen opvangen en de HTTPS-privésleutel van dat gadget kunnen realiseren, kunnen ze de beweging op een later tijdstip decoderen om gebruikersnamen, wachtwoorden en andere bevestigingstokens te verwijderen.
Uit het onderzoek van SEC Consult bleek dat talloze fabrikanten van geïmplanteerde gadgets dezelfde privésleutels hard coderen voor hun eigen specifieke items. Desalniettemin waren er ook situaties waarin dezelfde sleutels werden gevonden in items van onderscheidende makers. Die omstandigheden zijn normaal gesproken het gevolg van verkopers die hun firmware bouwen in het licht van de programmeerverbeteringseenheden (SDK’s) die ze hebben gekregen van de makers van chipsets, zonder te proberen de sleutels te veranderen die nu in die SDK’s aanwezig zijn.
Bijvoorbeeld, een testament afgegeven aan een man genaamd “Daniel” met het e-mailadres [email protected] werd gevonden in firmware van Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone en ZyXEL, aldus de specialisten van SEC Consult. Het testament is afkomstig van een Broadcom SDK en wordt gebruikt door meer dan 480.000 gadgets op internet, zeiden ze.