Belkin vergisst PGP-Schlüssel in Lichtschalter-Firmware

Ein Lichtschalter mit Linux-Firmware. Praktisch, dachte sich Linux-Kernelentwickler Matthew Garrett und warf einen Blick auf die Software. Was er fand, überraschte ihn allerdings sehr: Den PGP-Key, mit dem Belkin seine Firmware unterschreibt.

 

WeMo-Lichtschalter von Belkin lassen sich per Smartphone-App steuern und haben deswegen eine auf Linux basierende Firmware an Bord. Beim Programmieren haben die Entwickler von Belkin allerdings wohl den PGP-Schlüssel auf dem fertigen System vergessen, mit dem Firmware-Updates für die Geräte signiert werden. Das erlaubt es Hackern, eigene Firmware auf die Lichtschalter zu laden und so unter Umständen auch Schadcode auszuführen. Es sieht nämlich so aus, als hätte Belkin neben dem privaten Schlüssel auch die passende Passphrase mit den Geräten ausgeliefert.

Weiterlesen auf heise.de
Quelle: heise

Schreibe einen Kommentar