Fraunhofer-Test: Sicherheitsmängel bei Home-Routern

[English]Beim Fraunhofer-Institut haben sich Sicherheitsforscher 127 Router mit aktueller Firmware angesehen und kamen zu erschreckenden Ergebnissen. Bei fast allen Geräten gab es erschreckende Sicherheitsmängel.


Anzeige

Bei fast allen Geräten von insgesamt 127 getesteten Routern für Privatnutzer von sieben großen Herstellern wurden Sicherheitsmängel festgestellt, teilweise sogar ganz erhebliche. Diese reichen von fehlenden Sicherheitsupdates, über einfach zu entschlüsselnde, hartcodierte Passwörter bis hin zu bereits bekannten Schwachstellen, die eigentlich längst behoben sein müssten.

127 Router mit neuester Firmware getestet

Die Sicherheitsexperten des Fraunhofer-Instituts schreiben, dass sich das Team von Peter Weidenbach und Johannes vom Dorp aus der Abteilung »Cyber Analysis & Defense« des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) per Stichtag 27. März 2020 die neueste verfügbare Software diverser Router heruntergeladen hatte. Diese Firmware wird auch seitens der Hersteller den Kunden angeboten, die einen dieser 127 getesteten Router (von Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel) zu Hause als Privatnutzer verwenden.

Firmware-Analyse der Router-Firmware

Mithilfe des vom Fraunhofer FKIE entwickelten »Firmware Analysis and Comparison Tools« (FACT) wurden die Sicherheitsmängel entschlüsselt und aufgezeigt: »Die Auswertung hat ergeben, dass kein einziger Router ohne Fehler war. Manche waren sogar von Hunderten bekannter Schwachstellen betroffen. 46 Router hatten in den letzten zwölf Monaten kein Sicherheitsupdate erhalten«, berichtet IT-Security-Experte und FKIE-Wissenschaftler Peter Weidenbach. Der Extremfall unter den geprüften Geräten hatte sogar 2.000 Tage lang kein Sicherheitsupdate mehr erhalten.

Basis ist oft (ein veraltetes) Linux

Verschiedene Sicherheitsaspekte standen für die FKIE-Wissenschaftler für ihren Bericht im Fokus, darunter neben den Sicherheitsupdates auch die Frage, welche Betriebssystemversionen verwendet werden und inwieweit kritische Sicherheitslücken diese Versionen beeinflussen. Mehr als 90 Prozent der getesteten Home Router setzen Linux als Betriebssystem ein, allerdings werden oftmals sehr alte Versionen genutzt.


Anzeige

An dieser Stelle macht vom Dorp den Herstellern auch den größten Vorwurf. »Linux arbeitet permanent daran, Sicherheitslücken in seinem Betriebssystem zu schließen und neue Funktionalitäten zu erarbeiten. Die Hersteller müssten eigentlich nur die aktuellste Software aufspielen, aber sie integrieren diese nicht in dem Maße, wie sie es könnten und müssten.«

Umgang mit Passwörtern

Auch der Umgang mit dem Thema Passwörter hat die FKIE-Wissenschaftler erstaunt: »Etliche Router haben einfach zu knackende oder bekannte Passwörter bzw. hartcodierte Anmeldedaten, die vom Benutzer auch nicht geändert werden können.« Gleichzeitig entdeckten sie zahlreiche Sicherheitslücken, die schon lange bekannt sind und die Hersteller längst hätten beseitigen müssen.

Die Hersteller patzen

Für Weidenbach völlig unverständlich ist, dass seitens der Hersteller von Home Routern die von ihm und seinem Team behandelten Sicherheitsaspekte nicht deutlich mehr im Fokus stehen. »Man erkennt sofort, dass die Anbieter völlig unterschiedlich mit vorhandenen Sicherheitslücken und deren Beseitigung umgehen.« So lege AVM mehr Wert auf Sicherheitsaspekte als die anderen Anbieter, auch wenn AVM Router ebenfalls nicht ohne Sicherheitsmängel seien. Gleichzeitig seien ASUS und Netgear in einigen Punkten zuverlässiger als D-Link, Linksys, TP-Link und Zyxel. Huawei wurde wohl nicht getestet.

Vom Dorp: »Unser Test hat gezeigt, dass eine groß angelegte automatisierte Sicherheitsanalyse von Home Routern durchaus möglich ist. Und die Vielzahl der aufgeführten Schwachstellen zeigt, dass die Hersteller noch viel mehr Anstrengungen unternehmen müssen, um die Geräte deutlich sicherer zu machen.« Einige Einschätzungen lassen sich in diesem heise-Artikel nachlesen.

Home Router Security Report 2020 (PDF, Englisch)

PS: Bei heise findet sich dieser Artikel zu einer Root-Schwachstelle in Netgear-Routern, die man patchen sollte.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Fraunhofer-Test: Sicherheitsmängel bei Home-Routern

  1. doorey sagt:

    "AVM-Router schnitten bei dem Text mit Abstand am besten ab" (sollte wohl 'Test' werden-heißen)

    was auch sonst. Alles wie immer…

  2. chriscrosser sagt:

    …ist schon ziemlich krass!…

  3. Gerold sagt:

    Ein weiteres Problem ist dass viele Leute bei selber gekauften Routern keine Firmware-Updates durchführen.

    • Herr IngoW sagt:

      Bei neueren Routern ist das Update bei den Standardeinstellungen eigentlich auf automatisch eingestellt (jedenfalls bei AVM).

      • Gerold sagt:

        In den letzten Jahren hatte ich Router von ASUS, D-Link, Zyxel etc.. Bei keinem von denen gabs die Möglichkeit einer automatischen Firmwareaktualisierung, das musste immer manuell gemacht werden.

  4. Herr IngoW sagt:

    Früher waren die Router von "Vodafone" doch von "Huawei", ist das heute auch noch so?

  5. Michael sagt:

    "Huawei wurde wohl nicht getestet."

    Sind nicht gerade die weit verbreiteten Router der T-Kom (Speedport etc.) von Huawei ? Zum Beispiel zeigt mir "WifiInfoView" 20 WLAN in meiner Umgebung an, davon sind 9 Geräte von Huawei und (nur) 4 von AVM.

    • N. Westram sagt:

      Huawei wurde nicht getestet, weil man die Firmware nicht runter laden kann.
      Da die Untersuchung nur auf Basis der Firmware-Dateien erfolgte, konnte Huawei nicht berücksichtigt werden.

  6. Flo sagt:

    Brauchen Switches eigentlich auch Firmware Updates?

    • Holger sagt:

      Nein, Heimrouter werden nicht über Active Directory betrieben. Die beschriebene Sicherheitslücke betrifft nur MS Domänen, betroffen könnten aber NetApp und andere Linux-basierte Storage Systeme sein.

  7. Mira Bellenbaum sagt:

    Mal ne ganz unbedarfte Frage!
    Wenn die BS auf Linux basieren, sollte es da nicht möglich sein den "alten" Kernel
    gegen einen "neuen" Auszutauschen?

    • uloboreen sagt:

      theoretisch ja, praktisch nein. Die FW BASIERT auf linux. Hat aber mit ner mormalen distro aus freier Wildbahn nüscht zu tun. Das ist sehr speziell, wie alle FWs, auf die jeweiligen Geräte abgestimmt. Heißt (Ver)Änderung, wenn, durch den Hersteller. Alles andere ginge in die Hose.
      Ausnahme: Spezialprojekte, wie beispielsweise freetz bei einigen fritzboxen, oder das "fritzen" von geeigneten tkom-speedports – siehe u.a. ip-phone-forum.

  8. psytester sagt:

    Die stark veraltete Softwarebasis habe ich letztes Jahr auch schon erschreckend festgestellt und von den Herstellern "freundliche Antwortmails erhalten".
    Aber irgendwann ist dann auch (daraufhin) etwas passiert.

    Da ich keinen direkten Link setzen möchte um nicht als SEO Spammer geblockt zu werden, wer sucht der findet:
    Angriffsvektoren auf aktuelle embedded Linux Busybox/Buildroot Systeme (IoT/Router/Smart Home) wegen Sicherheitslücken in veralteter Softwarebasis

    Jedenfalls nutzen alle Hersteller ein Teils stark veraltetes Betriebsystem.
    Netgear war mir besonders negativ aufgefallen
    R8000 – Nighthawk X6 – AC3200 Tri-Band-Gigabit-WLAN-Router
    R8000-V1.0.4.28_10.1.54.zip und auch die R8000-V1.0.4.40_10.1.60_BETA.zip
    BusyBox v1.7.2 –> Releasedatum 10 September 2007 !

    NETGEAR Nighthawk Gaming WLAN Router XR700 Pro
    XR700-V1.0.1.8.zip
    BusyBox v1.4.2 –> Releasedatum 18 March 2007 !

    Bei Updates wird wohl nur das nötigste korrigiert.

  9. Andres Müller sagt:

    Synology Router sind im Schnitt etwas teurer ( so viel aber auch wieder nicht).

    Trotzdem, warum wurde von denen kein Modell getestet? Es werden relativ viele Geräte von Privat gekauft, sie sind beliebt geworden.

    Ich wette darauf das deren Produkte besser abschneiden, aber man weiss jetzt halt nichts und hat keinen Vergleich über den vorliegenden Fraunhofer Test, schade.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.