Fragwürdige Transparenz:
Netgear packt private Schlüssel in Firmware

Die fragliche Firmware wurde teils vorinstalliert auf neuen Routern ausgeliefert und stand auch in Form von Updates zum Download bereit. Mit einiger technischer Fertigkeit konnte man die Keys aus der Software extrahieren. Auf diese Weise hatte im Grunde jedermann die Möglichkeit, eigene Krypto-Zertifikate zu erstellen, die von den Browsern problemlos und ohne Widerspruch akzeptiert wurden. Kriminelle können eine solche Chance auf verschiedene Weise nutzen. Natürlich ist es mög­lich, valide wirkende Zertifikate zu fälschen und diese dann beispielsweise zu nutzen, um den Anwendern eine funktionierende sichere Verbindung vorzugaukeln. Aber auch das Kapern der Router, die mit der fraglichen Firmware und den entsprechenden Zertifikaten aus­ge­stat­tet sind, ist so möglich.

Direkte Veröffentlichung

Eigentlich waren sie dafür vorgesehen, ver­schlüs­selte Ver­bin­dun­gen zwischen dem Router und einem Browser, in dem die Admin-Ober­flä­che dargestellt wird, her­zu­stel­len. Und die Im­ple­men­tierung eines entsprechend abgesi­cher­ten Systems ist eigentlich schon längst kein He­xen­werk mehr und wird von zahlreichen Ent­wick­lern häufig eingesetzt. Immerhin er­war­ten Nutzer heute zu Recht, dass sie und ihre Sys­te­me bereits von Seiten der Hersteller aus hin­rei­chend geschützt werden. Und auch wenn das Verfahren in den Routern ein wenig von der üb­li­chen Konfiguration bei Webseiten abweicht, gibt es eigentlich keinen Grund, gleich die privaten Schlüssel dazuzulegen.

Entdeckt wurde das Problem von den Sicherheitsforschern Nick Starke und Tom Pohl. Diese haben ihre Erkenntnisse nun schon fünf Tage nach einer Mitteilung an Netgear ver­öf­fent-­licht. Sie haben sich hierbei für einen Alleingang entschieden, da beispielsweise die Teil­nah­me am Bug Bounty-Programm Netgears eine unabhängige Veröffentlichung grund­sätz­lich untersagt. Angesichts des bisherigen Umgangs des Unternehmens mit Sicherheitsproblemen ist dabei unklar, inwieweit und wann überhaupt Transparenz hergestellt wird. So kann nun zumindest dafür gesorgt werden, dass die Browser-Hersteller den fraglichen Zertifikaten zügig das Vertrauen entziehen.

Siehe auch: Neue Botnet-Malware kapert Home-Router verschiedener Hersteller