Producenten van routers en IoT-consumentenproducten gebruiken op grote schaal onveilige standaardsleutels, meldt The Register. De site haalt onderzoek aan van Infosec biz Sec Consult naar 4.000 embedded devices van 70 fabrikanten.
In een groot aantal van die apparaten blijken beveiligingssleutels hard gecodeerd. De oorzaak zit in de softwaretools die de fabrikant van embedded hardware levert. Veel developers nemen die ongewijzigd over en de SSH-sleutels en server-side SSL certificaten zijn daardoor voor alle apparaten identiek.
Het onderzoek heeft 580 standaardsleutels gevonden in allerlei apparaten. Een voorbeeld is een certificaat afkomstig uit een Broadcom SDK, dat in 480.000 apparaten op internet is teruggevonden. In veel gevallen kan een apparaat worden overgenomen via een online portal.
Waarschuwing US CERT
De Amerikaanse federale organisatie CERT heeft op 25 november een bulletin uitgegeven met een waarschuwing tegen niet-unieke X.509 certificaten en SSH host keys. Er is geen eenvoudige oplossing voor het probleem. Gebruikers zouden zelf certificaten en sleutels moeten aanpassen, eventueel met assistentie van de makers van de apparatuur.
De volgende merken zijn getroffen: Actiontec, Cisco, General Electric, Huawei Technologies, NetComm Wireless Limited, Technicolor Ubiquiti Networks, Unify Inc, ZTE Corporation en ZyXEL.
De status is niet bekend van een reeks merken: ADB, ADTRAN, Alcatel-Lucent, Alpha Networks, Inc, Amx, Aztech, Clear, Comtrend Corporation, D-Link Systems Inc, Deutsche Telekom, DrayTek, Edimax Computer Company, Green Packet, Innatech, Korenix, Linksys, Mezon, Mobinet, Motorola, Inc, Moxa Inc, Netgear, Inc, Opengear, Pace, Robustel, Sagemcom, Seagate Technology, Seowon, Intech, Sierra Wireless, TP-LINK, TRENDnet, Vodafone Group, Western Digital Technologies en Zhone.
