Download: Heim-Router-Sicherheit-Report 2022

BRANCHEN-NEWS AUSBILDUNG & KARRIERE FORSCHUNG & ENTWICKLUNG

Homerouter Report
©123rf/simpson33

Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE hat einen 33seitigen Report über die Sicherheit von Heim-Routern veröffentlicht. Das englischsprachige Dokument kann kostenlos heruntergeladen werden.

Die WissenschaftlerInnen der FKIE-Abteilung "Cyber Analysis & Defense" haben 122 Router-Modelle untersucht, die zum Stichtag 31. März 2022 im Vertrieb waren. Sie kamen von sieben Herstellern, die ihre Geräte in Europa und international verkaufen.

Für die Analyse haben die Security-Experten die frei verfügbare Software aller Modelle - die Firmware - heruntergeladen und auf die Umsetzung von Security Best Practices untersucht.


Wie erfolgte die Analyse?

Die Analyse erfolgte in zwei Schritten: Zunächst wurde die Firmware automatisch entpackt und nach vorher definierten Fragestellungen ausgewertet. Wann hat das Gerät beispielsweise zuletzt ein Update erhalten? Gibt es für das verwendete Betriebssystem bekannte Sicherheitslücken? Werden die Zugangsdaten hartkodiert hinterlegt? Diese automatische Analyse führten die Wissenschaftler mithilfe des am Fraunhofer FKIE entwickelten "Firmware Analysis and Comparison Tool" (FACT) durch, das quelloffen zur Verfügung steht.


Welche Resultate gab es?

Die Analyse zeigte, dass das Thema Sicherheit von den sieben Herstellern unterschiedlich adressiert wird. So gab es Geräte mit nur wenigen potenziellen Sicherheitslücken, jedoch auch solche mit Verbesserungsbedarf hinsichtlich aller untersuchten Fragestellungen. Patches - das Schließen erkannter Sicherheitslücken - werden im Vergleich schneller eingespielt und die Betriebssystemversionen in etwas kürzeren Abständen aktualisiert. Nach Ansicht der Sicherheitsexperten erfolgt das allerdings noch nicht in ausreichendem Maße. Interessant sei ein deutlicher Rückgang der hartcodierten Anmeldedaten.

Das größere Sicherheitsproblem sehen die Security-Experten in leicht zu erratenden Passwörtern, deren Zahl sich nicht wesentlich verändert habe. Zudem werden verfügbare Schutzmaßnahmen für ausführbare Dateien, sogenannte "Binary Hardening"-Methoden, in vielen Fällen nicht konsequent genutzt.

Die für Router eingesetzten Linux-Versionen wurden mit einer öffentlichen Datenbank abgeglichen, die bekannte Sicherheitslücken dokumentiert. Die Resultate filterten die WissenschaftlerInnen im Anschluss mit einer Methode, um nur potenzielle Sicherheitslücken zu betrachten, die auf die vorliegenden Router angewendet werden können.


Empfehlungen an Router-Hersteller

  • Betriebssystem-Versionen ersetzen, wenn sie keine Sicherheitsupdates mehr erhalten
  • Build-Prozesse modernisieren, um sicherheitsrelevante Compiler-Features zu aktivieren
  • Alle hartcodierten Zugangsdaten auf ihre Notwendigkeit hin überprüfen
  • Passwörter verwenden, die nicht leicht zu knacken sind


Der Report kann über den unten angeführten Link kostenlos heruntergeladen werden.  

Link(s)

Fachartikel

Figure 1 C©Texas Instruments
Präzisions-Designs mit differenzieller Verstärker-Ansteuerung
Aufmacher©TSEP
Probleme und Lösungsansätze für IEEE 1588 Implementierungen
03 Selection Trans And Rec Coils©Würth Elektronik
Kabellose Energieübertragung: Spulen als zentrale Bauelemente