Aktuelles, Branche - geschrieben von am Mittwoch, August 26, 2020 20:02 - noch keine Kommentare

DVB-T2-Geräte: Avast entdeckt Sicherheitslücken

Laufende Initiative von Avast zur Untersuchung und Prüfung der Sicherheitsvorkehrungen von IoT-fähigen Geräten

[datensicherheit.de, 26.08.2020] Avast hat nach eigenen Angaben „schwerwiegende Sicherheitslücken in zwei beliebten TV-Set-Top-Boxen entdeckt“ – diese könnten es Cyber-Kriminellen ermöglichen, Malware auf dieen Geräten zu speichern, um über einen Wetterdienst Botnet- oder Ransomware-Angriffe zu starten.

avast-lab-thomson-tht741fta-philips-dtr3502bfta

Foto: Avast

Unter der Lupe im avast IoT Lab: „THOMSON THT741FTA“ (o.) und „Philips DTR3502BFTA“ (u.)

Avast hat beide Hersteller auf Sicherheitslücken hingewiesen

Hersteller der betroffenen Boxen seien die Unterhaltungselektronik-Unternehmen Thomson und Philips: „THOMSON THT741FTA“ und „Philips DTR3502BFTA“ seien europaweit erhältlich und würden häufig von Verbrauchern gekauft, deren Fernsehgeräte DVB-T2 nicht unterstützen.
„DVB-T2 ist das aktuelle digitale Signal für terrestrisches Fernsehen, das Zugang zu zusätzlichen hochauflösenden (HD)-Fernsehdiensten bietet.“
Avast hat demnach beide Hersteller auf diese Sicherheitslücken hingewiesen und ihnen Tipps zur Verbesserung der Produktsicherheit mitgeteilt.

Avast warnt: Geräte mit offenen Telnet-Ports ausgeliefert

Die Untersuchung, geleitet vom „IoT Labor“-Teamleiter Vladislav Iluishin und dem IoT-Bedrohungsforscher Marko Zbirka, habe im Januar 2020 begonnen und sei Teil einer laufenden Initiative von Avast zur Untersuchung und Prüfung der Sicherheitsvorkehrungen von IoT-fähigen Geräten.
Zu Beginn ihrer Analyse hätten Iliushin und Zbirka entdeckt, „dass beide Geräte mit Internetanschluss von ihren Herstellern mit offenen Telnet-Ports ausgeliefert werden“. Dabei handele es sich um ein mehr als 50 Jahre altes, unverschlüsseltes Protokoll, welches für die Kommunikation mit anderen Geräten oder Servern verwendet werde.
Dies könnte es einem Angreifer ermöglichen, Fernzugriff auf die Geräte zu erlangen und sie in Botnetze zu integrieren, um DDoS-Angriffe (Distributed Denial of Service) oder andere bösartige Aktivitäten zu starten. Iliushin und Zbirka sei es gelungen, die Binärdatei des weitverbreiteten „Mirai“-Botnetzes auf beiden Set-Top-Boxen auszuführen.

Hinweis von Avast: Support für Linux-Kernel 3.10.23 im November 2017 ausgelaufen

Die Experten hätten darüber hinaus einen Fehler aufgedeckt, welcher mit der Architektur der Set-Top-Boxen zusammenhänge. Beide Geräte basierten auf dem Programm „Linux-Kernel 3.10.23“, welches 2016 auf den Boxen installiert worden sei.
Es diene als Brücke zwischen der Hardware und der Software der Geräte, indem es der Software genügend Ressourcen zuweise, damit sie ausgeführt werden kann.
Der Support für Version „3.10.23“ sei jedoch im November 2017 ausgelaufen. Patches für Fehler und Schwachstellen seien also nur ein Jahr lang vor dem Ende des Supports herausgegeben worden – seitdem seien die Benutzer potenziell Angriffen ausgesetzt.

Avast weist auf unsichere Verbindung zwischen den Boxen und dem „AccuWeather“-Backend hin

Zu weiteren Sicherheitsproblemen der Geräte gehöre eine unverschlüsselte Verbindung zwischen den Set-Top-Boxen und einer vorinstallierten „Legacy“-Anwendung des beliebten Wettervorhersagedienstes „AccuWeather“. Diese Erkenntnis hätten die Forscher durch die Analyse des Datenverkehrs zwischen den Set-Top-Boxen und dem Router gewonnen.
Die unsichere Verbindung zwischen den Boxen und dem „AccuWeather“-Backend könnte es Cyber-Kriminellen ermöglichen, die Inhalte zu verändern, welche „die Benutzer auf ihren Fernsehern sehen, wenn sie die Wetteranwendung nutzen“.
Beispielsweise könnte ein Eindringling eine Lösegeldnachricht anzeigen, „in der er behauptet, der Fernseher des Nutzers sei gekapert worden, und eine Zahlung für die Freigabe des Geräts verlangen“.

IoT-Hersteller denken laut Avast selten darüber nach, wie sie die Bedrohungsoberfläche ihrer Produkte reduzieren können

„Die Hersteller sind nicht nur dafür verantwortlich, bereits vor dem Verkauf ihrer Produkte sicherzustellen, dass die Sicherheitsstandards eingehalten werden, sondern auch dafür, diese und damit ihre Nutzer dauerhaft abzusichern, stellt Iliushin klar.
Leider dächten IoT-Hersteller selten darüber nach, „wie sie die Bedrohungsoberfläche ihrer Produkte reduzieren können“. Stattdessen verließen sie sich auf das absolute Minimum an IoT- und Kundensicherheit oder ließen sie im Extremfall völlig außer Acht, um Kosten zu sparen und ihre Produkte schneller auf den Markt zu bringen.
Eine vollständige Beschreibung der Erkenntnisse sei auf „Decoded“, dem Threat-Intelligence-Blog von Avast, veröffentlicht worden. „Der Beitrag enthält auch Best-Practice-Sicherheitstipps für die Hersteller dieser Geräte und für Endverbraucher.“

Für Besitzer dieser Set-Top-Boxen hat Avast einige Top-Tipps parat:

  • Wenn Sie die internetbasierten Funktionen Ihrer Set-Top-Box nicht unbedingt benötigen, verbinden Sie sie nicht mit Ihrem Heimnetzwerk!
  • Informieren Sie sich: Kaufen Sie immer von etablierten, vertrauenswürdigen Marken, die langfristigen Support für Geräte und Sicherheit bieten!
  • Für fortgeschrittene Nutzer: Melden Sie sich auf Ihrer Router-Benutzeroberfläche an und überprüfen Sie in den Einstellungen, ob Universal „Plug and Play“ (UPnP) aktiviert ist. Wenn dies der Fall ist, empfehlen wir Ihnen, es zu deaktivieren. Überprüfen Sie außerdem Ihre Port-Weiterleitungskonfiguration und deaktivieren sie diese, es sei denn, dies ist für Ihre Zwecke absolut notwendig.

Im Rahmen der Untersuchung habe sich Avast sowohl mit Philips als auch mit Thomson in Verbindung gesetzt „und teilte die Ergebnisse zusammen mit Vorschlägen zur Verbesserung der Produktsicherheit mit“.

Weitere Informationen zum Thema:

DECODED avast.io, Vladislav Iliushin & Marko Zbirka, 26.08.2020
Flaws in DVB-T2 set-top boxes exposed

datensicherheit.de, 28.08.2019
Avast: Schadsoftware Retadup erfolgreich gestoppt



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung