Belkin vergisst PGP-Schlüssel in Lichtschalter-Firmware
Ein Lichtschalter mit Linux-Firmware. Praktisch, dachte sich Linux-Kernelentwickler Matthew Garrett und warf einen Blick auf die Software. Was er fand, überraschte ihn allerdings sehr: Den PGP-Key, mit dem Belkin seine Firmware unterschreibt.
(Bild: Matthew Garrett, Twitter)
- Fabian A. Scherschel
WeMo-Lichtschalter von Belkin lassen sich per Smartphone-App steuern und haben deswegen eine auf Linux basierende Firmware an Bord. Beim Programmieren haben die Entwickler von Belkin allerdings wohl den PGP-Schlüssel auf dem fertigen System vergessen, mit dem Firmware-Updates für die Geräte signiert werden. Das erlaubt es Hackern, eigene Firmware auf die Lichtschalter zu laden und so unter Umständen auch Schadcode auszuführen. Es sieht nämlich so aus, als hätte Belkin neben dem privaten Schlüssel auch die passende Passphrase mit den Geräten ausgeliefert.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Aufgedeckt hat diese Problematik Matthew Garrett, der als Linux-Kernelentwickler natürlich ein Interesse daran hat, herauszufinden, welche Geräte alle seinen Code einsetzen. So untersuchte er dann auch prompt seinen neuen WeMo-Schalter und entdeckte die Sicherheitslücke. Das Problem scheint schon seit längerem bekannt zu sein. Aber offensichtlich liefert Belkin weiterhin verwundbare Geräte aus. Belkin ist auch nicht die erste Firma der so ein Missgeschick unterläuft. Erst vor ein paar Tagen war D-Link mit einer ähnlichen Geschichte in den Schlagzeilen: Die Firma hatte Signing-Zertifikate in der Firmware einer Überwachungskamera vergessen. (fab)
