{"id":238000,"date":"2020-11-24T10:30:15","date_gmt":"2020-11-24T09:30:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238000"},"modified":"2024-08-12T13:41:00","modified_gmt":"2024-08-12T11:41:00","slug":"backdoor-in-chinesischen-routern-jetstream-wavelink-ematic","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/24\/backdoor-in-chinesischen-routern-jetstream-wavelink-ematic\/","title":{"rendered":"Backdoor in chinesischen Routern (Jetstream, Wavelink, Ematic)"},"content":{"rendered":"

[English]Ein Sicherheitsforscher ist auf eine versteckte Hintert\u00fcr (Backdoor) gesto\u00dfen, die in chinesischen Routern diverser Firmen (Wavlink, Jetstream) eingebaut ist. \u00dcber die Backdoor l\u00e4sst sich nicht nur der Router kontrollieren, sondern auch in das dahinter liegende Netzwerk der Ger\u00e4tebesitzer eindringen. Die Ger\u00e4te werden auf Amazon, eBay und weiteren Plattformen sowie beim US-H\u00e4ndler Walmart verkauft. Wie stark die Router in Deutschland verkauft werden, wei\u00df ich nicht. Eine kurze Suche auf Amazon nach Ematic-Routern (oder weiterer Ger\u00e4tenamen) hat mir Treffer beschert.<\/p>\n

<\/p>\n

\"\"Brauchen wir so was wie ein deutsches Reinheitsgebot f\u00fcr Router der Art: 'In meine vier W\u00e4nde lasse ich nur Router von AVM'? Wenn ich die Zufallsartikel aus dem Blog \u00fcberfliege, die ich am Beitragsende verlinkt habe, lautet die Antwort Ja. Und patchen sollte man das Zeugs, unbedingt und regelm\u00e4\u00dfig.<\/p>\n

Oh, das ist ja eine Backdoor im Router<\/h2>\n

In einer Zusammenarbeit zwischen dem Informationssicherheitsforscher Mantas Sasnauskas von CyberNews Sr. und den Forschern James Clee und Roni Carta wurden verd\u00e4chtige Hintert\u00fcren in einem in China hergestellten Jetstream-Router entdeckt, der exklusiv bei Walmart als\"erschwinglicher\" WiFi-Router verkauft wird. Diese Hintert\u00fcr w\u00fcrde einem Angreifer die M\u00f6glichkeit bieten, nicht nur die Router, sondern auch alle mit diesem Netzwerk verbundenen Ger\u00e4te fernzusteuern. Die betreffende Firmware wird aber auch in anderen Routern verwendet.<\/p>\n

Auf Nachfrage von CyberNews antwortete Walmart, dass man dem Problem nachgehe, aktuell aber keine Ger\u00e4te mehr auf Lager habe und nicht planen, das Ger\u00e4t wieder ins Sortiment aufzunehmen. Die Dummen sind die bisherigen K\u00e4ufer.<\/p><\/blockquote>\n

Ich bin \u00fcber diesen Cybernews-Artikel<\/a> auf das Thema aufmerksam geworden. Nachfolgende Video thematisiert das Ganze in diversen Details.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

Neben dem Walmart-exklusiven Jetstream-Router entdeckten die Sicherheitsforscher aber, dass preiswerte Wavlink-Router, die normalerweise bei Amazon oder eBay verkauft werden, \u00e4hnliche Hintert\u00fcren haben. Die Wavlink-Router enthalten auch ein Skript, das nahegelegene WLANs auflistet und die M\u00f6glichkeit bietet, sich mit diesen Netzwerken zu verbinden. Ich habe dann mal auf Amazon geschaut – da wird auch ein WAVLINK AC3200 Dualband WLAN Router \u00fcber einen gesponsorten Link angeboten. Es ist also nicht ausgeschlossen, dass solche Router – ggf- unter dem Handelsnamen Ematic (von Media Markt habe ich nur eine Streaming-Box unter diesem Namen gefunden) –\u00a0 in Deutschland, \u00d6sterreich oder der Schweiz eingesetzt werden.<\/p>\n

Die Sicherheitsforscher haben Hinweise gefunden, dass diese Hintert\u00fcren aktiv ausgenutzt werden. Es wurde versucht, die Ger\u00e4te einem Mirai-Botnet hinzuzuf\u00fcgen. Bei Mirai handelt es sich um Malware<\/a>, die mit einem Netzwerk verbundene Ger\u00e4te infiziert, sie als Teil eines Botnetzes in ferngesteuerte Bots verwandelt und sie f\u00fcr gro\u00df angelegte Angriffe verwendet.<\/p>\n

Zum Hintergrund<\/h2>\n

Urspr\u00fcnglich hatte der Sicherheitsforscher Clee nur die Idee, mal nachzusehen, wie es um die Sicherheit kosteng\u00fcnstiger chinesische Ger\u00e4te wie Wavlink-Router bestellt ist. Er wird mit folgender Aussage zitiert: \"Ich war daran interessiert, zu sehen, wie viel Aufwand die Unternehmen in die Sicherheit investieren. Ich beschloss, dass es ein nettes Hobby w\u00e4re, billige chinesische Technologie von Amazon zu kaufen und zu sehen, was ich herausfinden k\u00f6nnte. \"<\/p>\n

Dann nahm er \u00fcber CyberNews Kontakt mit Carta und Sasnauskas auf. \"Nachdem ich mit James \u00fcber seine Entdeckung gesprochen hatte\", sagte Carta gegen\u00fcber CyberNews, \"versuchte ich sofort, nach anderen Firmen zu suchen, die dieselbe Firmware verwenden, und stellte fest, dass auch die Ger\u00e4te von Jetstream anf\u00e4llig sind. Die Nachforschungen waren interessant, um zu verstehen, woher die Schwachstelle kam und wie ein b\u00f6swilliger Akteur sie vollst\u00e4ndig ausnutzen konnte.\"<\/p>\n

Obwohl Jetstream einen Exklusivvertrag mit Walmart hat und unter anderen Markennamen wie Ematic verkauft wird, gibt es nur sehr wenige Informationen dar\u00fcber, welche chinesische Firma diese Produkte tats\u00e4chlich herstellt. Soviel ist bekannt: Wavlink<\/a> ist ein Technologieunternehmen mit Sitz in Shenzhen, China, in der Provinz Guangdong. Das Unternehmen hat ca. 1.000 Angestellte und verkauft seine Produkte weltweit. \u00dcber das Unternehmen Jetstream sind weniger Informationen \u00f6ffentlich abrufbar. Es wird vermutet, dass hinter dem Namen der Hersteller Winstars steckt.<\/p>\n

Ich vermute mal, dass aktuell nur wenige dieser Ger\u00e4te im deutschsprachigen Raum zu finden sind (mag mich aber t\u00e4uschen). Weitere Details sind diesem Artikel<\/a> von Lee, dem obigem Video sowie dem Artikel auf CyberNews<\/a> zu entnehmen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nKommt der Routerzwang wieder?<\/a>
\nTipp: Router Security-Testseiten<\/a>
\nFraunhofer-Test: Sicherheitsm\u00e4ngel bei Home-Routern<\/a>
\nWeitere Telekom Business-Router mit Sicherheits-Bug (27.11.2019)<\/a>
\nRouter-Schwachstellen (D-Link, Cable Haunt, Indien)<\/a>
\nAngriffe auf DrayTrec-Router gef\u00e4hrden Firmennetze<\/a>
\nListe von D-Link-Routern mit ungefixten RCE-Schwachstellen<\/a>
\nCisco Sicherheitsupdate f\u00fcr Switches und Router<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ein Sicherheitsforscher ist auf eine versteckte Hintert\u00fcr (Backdoor) gesto\u00dfen, die in chinesischen Routern diverser Firmen (Wavlink, Jetstream) eingebaut ist. \u00dcber die Backdoor l\u00e4sst sich nicht nur der Router kontrollieren, sondern auch in das dahinter liegende Netzwerk der Ger\u00e4tebesitzer eindringen. Die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[2038,4328],"class_list":["post-238000","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-router","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238000"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238000\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}