Peinlich: D-Link vergisst Kryptoschlüssel in Kamera-Firmware
Wie ein Sicherheitsforscher herausfand, enthielt die unter der GPL veröffentlichte Firmware einer Überwachungskamera von D-Link private Schlüssel. Damit hätte ein Angreifer Schadcode auf Windows-PCs schmuggeln können.
(Bild: Tweakers)
- Fabian A. Scherschel
D-Link hat offensichtlich private Schlüssel in offenem Quellcode seiner Firmware vergessen. Wie ein Nutzer der niederländischen Webseite Tweakers herausfand, konnte mindestens einer der Schlüssel dazu benutzt werden, Windows-Programme so zu signieren, dass die Sicherheitsvorkehrungen des Betriebssystems denken, das Programm komme von D-Link. Damit hätte er Schadcode auf die Systeme unbedarfter Nutzer schmuggeln können. D-Link scheint die betroffenen Schlüssel inzwischen zurückgezogen zu haben.
Laut dem Bericht auf Tweakers hat die Sicherheitsfirma Fox-IT das Datenleck bestätigt. Die entsprechenden Signing-Zertifikate waren in der Firmware der Überwachungskamera DCS-5020L gelandet – und zwar in der Version 1.00.b03 vom 27. Februar. Die Firmware unterliegt der Free-Software-Lizenz GPL und muss deswegen öffentlich bereitgestellt werden. (fab)
