IoT Inspector: Test soll zeigen, dass viele Router Schwachstellen aufweisen
von Benjamin Mamerow | 10 Kommentare
Foto von Stephen Phillips auf Unsplash
Gemeinsam mit dem Magazin CHIP hat die IoT-Security-Analyseplattform „IoT Inspector“ einen Routertest mit zahlreichen gängigen Router diverser Hersteller angestellt, bei dem automatisierte Tests die Geräte auf Herz und Nieren prüften. Dabei herausgekommen ist, dass im Grunde sämtliche getesteten Geräte über teils sehr viele Sicherheitsmängel verfügten, durch die externe Angriffe unnötig vereinfacht werden.
Insgesamt 226 potenzielle Sicherheitslücken wurden auf den millionenfach verbreiteten Geräten von Asus, AVM, D-Link, Netgear, Edimax, TP Link, Synology und Linksys gefunden. Spitzenreiter waren die Geräte von TP-Link mit 32 Sicherheitslücken (TP-Link Archer AX6000) und Synology mit 30 Schwachstellen (Synology RT-2600ac). – IoT Inspector
Nachdem die jeweiligen Hersteller darüber informiert worden sind, seien aber bereits allerhand Firmware-Patches vorbereitet worden, die über die interne Updatefunktion der einzelnen Router heruntergeladen werden können. Doch auch unsere neue Bundesregierung hat in ihrem Koalitionsvertrag vermerkt, dass Hersteller entsprechender Geräte zukünftig für durch IT-Sicherheitslücken in ihren Geräten hervorgerufene Schäden haftbar gemacht werden können. Dadurch sind die Hersteller schon um ihrer Willen verpflichtet, sich regelmäßig um das Ausbessern von Sicherheitslücken zu kümmern. Wie IoT Inspector informiert, sei aufgefallen, dass oft ein veralteter Linux-Kernel auf den getesteten Geräten im Einsatz war und auch allerhand andere Software entsprechend nicht mehr dem aktuellen Stand entsprochen hätte. Zum ausführlichen Test der Geräte gelangt ihr hier.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Etwas enttäuschend der „auführliche“ Test. Einfach automatisiert einen Versions- und CVE-Analyse über das Image laufen lassen ist ja nett. Aber dann bitte wenigstens wiederholen, nachdem die Hersteller dann ein Update geliefert haben um zu sehen obs besser geworden ist.
Außerdem ist es doch ziemlich dünn darauf hinzuweisen, dass da False-Positives bei den gezählten Sicherheitslücken dabei sein *können*. Man will es dann doch genau wissen, bevor man die gezählten Lücken mit allen Herstellern vergleicht!
Wenn Sie sich dahingehend sorgen:
Kaufen Sie einen RasPi und nutzen das Modem nur als Solches.
Et voila! Sie haben freie Verfügungsgewalt darüber, welche Dienste überhaupt laufen und Sie können „security by obscurity“ (hat zu Unrecht einen schlechten Ruf! Es ist gegen automatisierte Angriffe sehr wirksam) betreiben, indem sie andere Ports nutzen.
BTW: Seit ein paar Jahren gibt es IPFire(.org) auch für den RasPi. Tolle Basis für eigene Projekte.
AVM hat angeblich nicht reagiert? Bei den beiden dort gelisteten Router müsste es doch auch die 07.29 als Wartungs-Update gegeben haben. Gelistet ist dort immer noch 07.27.
Ja, ist ein bisschen komisch.
Auch weil im Text selbst eine Stellungnahme von AVM zitiert wird. Mag sein, das AVM nicht direkt auf Lücken eingehen wollte und „drumherum geredet“ hat, aber gar nicht reagiert kann man ja auch nicht wirklich sagen, zumal ein Wartungsupdate kam, wie Du schon schriebst.
Sehe ich auch so. Aber die Verfasser des Artikels wollten wohl persönlich kontaktiert werden. Wobei ich von dem Dienst noch nie etwas gehört habe…
„Print“ ist langsam: Die CHIP 12/2021 ist bereits Anfang November erschienen. Der Artikel ist vermutlich noch einige Wochen älter. Damals gab es z.B. für die 7530 AX noch keine 7.29.
Ja ganze Tolle Werbe Promotion für die Firma: IoT Inspector GmbH.
Das AVM nicht auf die Technik von Firmware Reverse Engineering Lücken darauf eingeht ist doch nicht verwunderlich.
Zumal Sie ja im vergleich zu den anderen relativ gut da stehen.
Und die Produkte von TP Link und D-Link stehen seit Jahren in der Top 10 der Unsichersten Geräte.
Dafür brauch ich keine IoT Inspector.
Wird nur der Hersteller für Schaden durch nicht gepatchte Sicherheitslücken haftbar gemacht? Ich habe eine Fritzbox von Vodafone gemietet, da ich mich im Falle eines Fehlers nicht damit herumschlagen will wer zuständig ist. Die dümpelt auf Firmware 7.20 vor sich hin, obwohl die gegen FragAttacks anfällig ist. Stört mich nicht wirklich, da ich das Wifi der Fritze nicht benutze, aber die generelle Haftung sollte in so einem Fall nicht AVM übernehmen sondern Vodafone.
Hier läuft eine 7412 von 1&1, FRITZ!OS: 06.86. Es gibt alt kein Neueres mehr.
Man packt einen eigenen Router dahinter (ist dann halt doppeltes NAT) und ist geschützt (schauen Sie z.B. mal bei IPFire(.org) vorbei). Oder, falls Sie keine Telefonfunktion benötigen, sie machen PPPoE-Passthrough, dann ist die F!B nur das Modem.
Ich sehe da wirklich eher den Nutzer in der Verantwortung. Zumindest ich wollte nicht die Aufpreise zahlen, die eine Haftung der Hersteller bewirkte.
Das gerade AVM angeblich zu den Bösen zählen soll, kann nur Satire sein. Die haben bisher immer sehr flott reagiert.
Wenn der User natürlich ne Schnarchnase ist und Updates nicht zeitnah einspielt, kann man das kaum dem Hersteller anlasten, geschweige ihn haftbar machen.
Das ein Router, der 1 Jahr im Regal gelegen hat, keine neue Software haben kann, sollte dieser Firma eigentlich bekannt sein……. deshalb checkt man ja gleich bei der Einrichtung, ob es ein Update gibt und spielt dieses ein. Das ist im Falle von AVM bisher nach meiner Erfahrung immer der Fall gewesen.
Über Sicherheitslücken informiert zum Beispiel auch dieser Blog, ebenso wie das Erscheinen eines Patches. Natürlich ist das mit „Arbeit“ verbunden….