zurück zum Artikel

Belkin vergisst PGP-Schlüssel in Lichtschalter-Firmware

Fabian A. Scherschel
mjg-wemo

(Bild: Matthew Garrett, Twitter)

Ein Lichtschalter mit Linux-Firmware. Praktisch, dachte sich Linux-Kernelentwickler Matthew Garrett und warf einen Blick auf die Software. Was er fand, überraschte ihn allerdings sehr: Den PGP-Key, mit dem Belkin seine Firmware unterschreibt.

WeMo-Lichtschalter von Belkin lassen sich per Smartphone-App steuern und haben deswegen eine auf Linux basierende Firmware an Bord. Beim Programmieren haben die Entwickler von Belkin allerdings wohl den PGP-Schlüssel [1] auf dem fertigen System vergessen, mit dem Firmware-Updates für die Geräte signiert werden. Das erlaubt es Hackern, eigene Firmware auf die Lichtschalter zu laden und so unter Umständen auch Schadcode auszuführen. Es sieht nämlich so aus, als hätte Belkin neben dem privaten Schlüssel auch die passende Passphrase [2] mit den Geräten ausgeliefert.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [3].

Aufgedeckt hat diese Problematik Matthew Garrett, der als Linux-Kernelentwickler natürlich ein Interesse daran hat, herauszufinden, welche Geräte alle seinen Code einsetzen. So untersuchte er dann auch prompt seinen neuen WeMo-Schalter [5] und entdeckte die Sicherheitslücke [6]. Das Problem scheint schon seit längerem bekannt zu sein [7]. Aber offensichtlich liefert Belkin weiterhin verwundbare Geräte aus. Belkin ist auch nicht die erste Firma der so ein Missgeschick unterläuft. Erst vor ein paar Tagen war D-Link mit einer ähnlichen Geschichte in den Schlagzeilen: Die Firma hatte Signing-Zertifikate in der Firmware einer Überwachungskamera [8] vergessen. (fab [9])


URL dieses Artikels:
https://www.heise.de/-2826218

Links in diesem Artikel:
[1] https://twitter.com/mjg59/status/647242641822773248
[2] https://twitter.com/mjg59/status/647251446669283328
[3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[4] https://twitter.com/mjg59/status/647242641822773248
[5] http://www.belkin.com/us/p/P-F7C030
[6] https://twitter.com/mjg59/status/647242313534574592
[7] https://twitter.com/mjg59/status/647242641822773248
[8] https://www.heise.de/news/Peinlich-D-Link-vergisst-Kryptoschluessel-in-Kamera-Firmware-2821401.html
[9] mailto:contact@fab.industries