Dienstag, 02. Apr. 2019 06:20 - [tj]
Die gute Gepflogenheit verlangt es, dass Sicherheitslücken in Hard- und Software zunächst den Entwicklern gemeldet werden. Diese haben dann in der Regel 90 Tage Zeit, den Fehler zu beheben.
Genau Letzteress hat der Router-Hersteller TP-Link nicht getan, weswegen der Google-Forscher Matthew Garrett nun nach 90 Tagen eine schwerwiegende Sicherheitslücke im Smart-Home-Router TP Link SR20
publik gemacht hat, die womöglich auch noch andere Router des Unternehmens betrifft. Die Sicherheitslücke ermöglicht die Übernahme der betroffenen Geräte und das Ausführen von Schadcode.
Wie der Google-Forscher weiter ausführt, habe sich TP Link trotz mehrfacher Kontaktversuche innerhalb der Frist nicht zurückgemeldet. Auch bestehe die Sicherheitslücke weiterhin. Der betroffene Router SR20 ist seit 2016 im Handel erhältlich.
Die Sicherheitslücke ergibt sich aus der Tatsache, dass das TP-Link Device Debug Protocol mit Root-Rechten ausgeführt wird. Da die Firewall die Funktion zudem nicht prüft, können Angreifer über das Protokoll vollen Zugriff auf den Router erhalten.
Übrigens ist es nicht das erster Mal, das TP Link Hinweise auf Sicherheitsprobleme in den eigenen Routern ignoriert. Bereits 2016 hatte Core Security auf eine Sicherheitslücke in TDDP hingewiesen, die nach aktuellem Kenntnisstand ebenfalls nicht behoben wurde.