Bij het eerste grote openbare onderzoek naar firmware in allerlei apparaten hebben onderzoekers tientallen onbekende lekken ontdekt, waaronder verschillende backdoors. Onderzoekers van het Franse Eurecom onderzochten 32.000 firmware-exemplaren van bekende fabrikanten.
Het ging onder andere om Xerox, Bosch, Philips, D-Link, Samsung, LG en Belkin, zo blijkt uit het onderzoeksrapport genaamd "A large scale analysis of the security of embedded firmwares". Firmware fungeert als controller of besturingssoftware van hardware. Voor het verzamelen van de 32.000 firmware-exemplaren schreven de onderzoekers een webcrawler die websites van fabrikanten en downloadsites afging en aanwezige firmware downloadde.
De bestanden werden vervolgens geanalyseerd, wat 38 onbekende beveiligingslekken in 693 firmware-exemplaren opleverde. Door de bestanden waarin de fouten werden gevonden te correleren naar andere, ongerelateerde firmware-exemplaren werden kwetsbaarheden in 123 verschillende producten gevonden. Verder bleek dat sommige van deze kwetsbaarheden in tenminste 140.000 apparaten aanwezig zijn.
Uit het onderzoek kwam naar voren dat veel apparaten, en dan met name surveillancecamera's, zelf gesigneerde certificaten gebruiken. Ook vonden de onderzoekers tientallen "hardcoded wachtwoordhashes", waarvan er veel zwak waren, zodat het bijbehorende wachtwoord kon worden achterhaald. Verder werden verschillende mogelijke backdoors aangetroffen alsmede een groot aantal hardcoded Telnet-inloggegevens en hardcoded inloggegevens voor de webadmin. De inloggegevens voor de webadmin waren op tenminste 101.000 apparaten aanwezig. Doordat ze hardcoded zijn kunnen ze niet door gebruikers worden aangepast.
Een probleem van de firmware-lekken is dat ze lastiger zijn te patchen dan bijvoorbeeld bij desktopapplicaties het geval is. De meeste firmware beschikt namelijk niet over een automatische updatefunctie. Volgens de onderzoekers laat hun onderzoek zien dat dit soort grootschalige onderzoeken dan ook hard nodig zijn. Ze zijn daarom van plan om de onderzoeken verder uit te breiden, zowel qua diepgang als omvang. De resultaten van het onderzoek zullen volgende week tijdens het 23ste Usenix Security Symposium in San Diego worden besproken.
Deze posting is gelocked. Reageren is niet meer mogelijk.