Schadsoftware in Geräten

Diese Übersetzung berücksichtigt möglicherweise nicht mehr die seit 2018-07-25 gemachten Änderungen der englischsprachigen Originalfassung

Weitere Beispiele proprietärer Schadsoftware

Schadprogramm, Schadsoftware oder engl. Malware ‑ ein Kofferwort aus Malicious ‚bösartig‘ und Software ‑ bezeichnet Software, die entwickelt wurde, um unerwünschte und gegebenenfalls schädliche Funktionen auszuführen (damit ist nicht Software gemeint, die zufällig Fehler enthält, obwohl diese selbst auch Schaden anrichten kann oder durch Sicherheitslücken beziehungsweise mangelnde Informationssicherheit zum Angriff auf Rechnersysteme ausgenutzt werden kann.
Eine Sicherheitslücke stellt einen Fehler in einer Software dar, durch den ein Programm mit Schadwirkung oder ein Angreifer in ein Rechnersystem eindringen kann.).

Schadsoftware und unfreie Software sind zwei verschiedene Fragestellungen. Der Unterschied zwischen freier und unfreier Software ist, ob Nutzer das Programm kontrollieren oder ob es umgekehrt ist. Es ist nicht direkt eine Frage dessen was das Programm macht wenn es ausgeführt wird. Jedoch ist unfreie Software in der Praxis oft Schadsoftware, weil das Bewusstsein des Entwicklers, dass Nutzer machtlos sein würden bösartige Funktionen zu beheben, dazu verführt einige aufzuerlegen.

Beispiele für Schadsoftware in Geräten:

Nest-Thermostate senden eine Menge Daten über den Nutzer.
Eine App für funkferngesteuerte Vibratoren zeichnet Audioaufnahmen von Partnern auf.[2]
Jede „Haussicherheit"-Kamera ist, sofern der Hersteller damit kommunizieren kann, ein Überwachungsgerät. Canarys Kamera ist ein Beispiel.

Der Artikel beschreibt Fehlverhalten durch den Herstellers, basierend auf der Tatsache, dass das Gerät an einen Server gebunden ist.

Weitere Beispiele proprietärer (Internet-)Anbindungen

Aber es demonstriert auch, dass das Gerät dem Unternehmen Überwachungsmöglichkeit bietet.
Eine „kluge“ für Krankenhäuser entworfene intravenöse Pumpe ist mit dem Internet verbunden. Selbstredend ist deren Sicherheit geknackt worden.

Beachten Sie, dass dieser Artikel den Begriff „Hacker“ mit Bezug auf Cracker missbraucht.
Die schlechte Sicherheit vieler Internet-der-Dinge-Geräte ermöglicht Internetdienstanbietern (IDA) diejenigen auszuschnüffeln, die diese benutzen.

Seien Sie kein Schößling: alle IdD zurückweisen.

Es ist bedauerlich, dass der Artikel den Begriff „monetarisieren“ verwendet.
Viele Modelle internetfähiger Kameras sind enorm unsicher. Sie haben Login-Konten mit hartcodierten Passwörtern, die nicht geändert werden können, und es gibt keine Möglichkeit, diese Konten zu löschen.
Proprietäre Code, der Herzschrittmacher, Insulinpumpen und andere medizinische Geräte betreibt, ist voller grober Sicherheitsmängel.
US-Nutzer verklagt Bose: App späht offenbar über Kopfhörer aus, welche Musik gerade läuft, welche Hörbücher und Radiosender der Nutzer sich anhört u. a., und leitet die Informationen an Drittanbieter weiter.

In der Klageschrift heißt es, dass dies ohne Bestätigung der Datenschutzbestimmungen erfolgen würde. Wenn das Kleingedruckte der App aussagt, dass man mit der Nutzung damit einverstanden wäre, würde es das akzeptabel machen? Auf keinen Fall! Es sollte geradeheraus illegal sein die App so zu entwerfen überhaupt auszuschnüffeln.
Anova sabotierte Kochgeräte mit einem Downgrade, welches sie mit einen Remote-Server verbunden hat. Solange kein Kundenkonto erstellt wurde, funktionierten die Geräte nicht.
„Internet der (knackbaren) Dinge“: Gerät zur Desinfektion für medizinische Geräte und Laborbedarf von Miele enthält Sicherheitslücke.[1]

Ein Cracker könnte beispielsweise auf das Dateisystem des Geräts zugreifen, mit Schadsoftware infizieren und Angriffe auf andere Geräte im Netzwerk erzwingen. Da diese Geräte u. a. in Krankenhäusern eingesetzt werden, könnte ein solcher Angriff potenziell Hunderte von Menschenleben gefährden.
Steht der Kauf eines gebrauchten „schlauen“ Autos, Hauses, TV-Geräts, Kühlschranks usw. an, ist zu beachten, dass Vorbesitzer diese noch immer fernsteuern können.
Vizios „pfiffige“ Fernseher erstatten Bericht über alles (nicht nur via Breitband- und Kabel-Dienstanbieter) was angeguckt wird. Selbst wenn das Bild aus dem eigenen Rechner des Nutzers kommt, wird dies berichtet. Die Existenz der Möglichkeit, die Überwachung zu deaktivieren, selbst wenn es nicht verborgen war, wie es bei diesen Fernsehen war, legitimiert dies nicht Überwachung.
Mehr oder weniger alle „Smart“-TVs spionieren Nutzer aus.

Der Bericht ist zwar aus 2014, aber es darf wohl nicht erwartet werden, dass sich etwas zum Positiven gewendet hat.

Das zeigt, dass Gesetze, welche von Produkten die formelle Zustimmung von Nutzern vor dem Sammeln personenbezogener Daten verlangen, völlig unzulänglich sind. Und was passiert, wenn die Zustimmung verweigert wird? Wahrscheinlich blendet der Fernseher eine Meldung nach dem Prinzip „Persönliche Daten gegen Dienstleistung“ ein: „Ohne Ihre Zustimmung zum Verfolgen wird der Fernseher nicht einwandfrei funktionieren.“

Angemessene Gesetze wären, dass TV-Geräten nicht erlaubt wird Bericht darüber zu erstatten was der Nutzer guckt ‑ ohne Ausnahme!
Einige LG-Fernsehgeräte sind Tyrannen.
Samsung „Smart“-Fernseher haben Linux als Basis für ein Tyrannen-System verwandelt um DRM durchzusetzen. Was dies Samsung ermöglichte, ist, dass Linux unter GNU GPL in der Version 2 ‑ nicht Version 3 ‑ zusammen mit einer schwachen Interpretation von Version 2 freigegeben ist.
Ein Unternehmen, das internetgesteuerte Vibratoren herstellt, wird für das Sammeln einer Menge persönlicher Information wie man diese einsetzt verklagt.

Die Erklärung des Unternehmens, sie würden die Daten anonymisieren, mag wahr sein, spielt aber keine Rolle: werden sie einem Datenmakler verkauft, kann dieser herausfinden, wer der Benutzer ist.
Google Alphabet schaltet Heimautomatisierungs-Hub Revolv ab und beendet Serverunterstützung, und macht somit die Geräte unbrauchbar. Fazit: Alle solche Produkte zurückweisen und auf eigenständige Anlagen/Rechner, auf denen Freie Software ausgeführt wird, bestehen!
Kabelmodems von Arris haben Hintertür in der Hintertür.
Virtuelle HP „Storage-Appliances“ (‚Speichergeräte‘), die das proprietäre LeftHand-Betriebssystem verwenden, haben Hintertüren, die HP entfernten Anmeldezugriff gewähren. HP behauptet, dass dies HP keinen Zugang auf die Kundendaten gewährt, wenn die Hintertür aber die Installation von Softwareänderungen ermöglicht, könnte eine Änderung installiert werden die Zugang auf die Kundendaten geben würde.
Einige D-Link Router haben Hintertür zum Ändern von Einstellungen.[3]

Viele Router-Modelle haben Hintertüren. [Übersicht mit Präsentationsfolien, A. d. Ü.]
TP-Link-Router hat eine Hintertür. [mehr]
Der „Cube“ 3D-Drucker wurde mit DRM entworfen: es werden keine Druckmaterialien von Drittanbietern akzeptiert. Es ist das Keurig (ein US-amerikanischer Kaffeekonzern, A. d. Ü.) unter den Druckern. Nun wird die Produktion eingestellt, sodass autorisierte Materialien letztlich nicht mehr verfügbar und der Drucker unbrauchbar werden könnte.

Mit einem Respects Your Freedom zertifizierten 3D-Drucker wäre dieses Problem nicht einmal eine entfernte Möglichkeit.

Wie erbärmlich, dass der Autor dieses Artikels sagt, dass „nichts falsch“ mit dem Entwurf des Geräts sei, um in erster Linie Nutzer einzuschränken. Das ist wie ein „täusche-und-malträtiere-mich“-Zeichen auf der Brust. Wir sollten es besser wissen: wir sollten alle Unternehmen verurteilen, die einen wie er ausnutzen. Tatsächlich ist es die Akzeptanz ihrer ungerechten Praxis, die einen lehrt Fußabtreter zu sein.
„Smarte“ Lampen von Philips wurden ursprünglich für die Interaktion mit „smarten“ Lampen anderer Unternehmen entworfen, jedoch aktualisierte das Unternehmen die Firmware später, um Interoperabilität zu unterbinden.

Ist ein Produkt „smart“ und wurde nicht von einem selbst konstruieren, scheint es geschickt dem Hersteller zu dienen ‑ gegen einen.
DVDs und Blu-Rays weisen DRM auf.

Diese Seite verwendet Begriffe, die die Tatsachen zugunsten DRM verdrehen, darunter auch „Digital ‚Rights‘ Management“ und „Protect“, und stellt die Behauptung auf, dass in erster Linie „Artists“ (anstatt Unternehmen) für die Umsetzung Digitaler Rechte-Minderung auf diesen Datenträgern verantwortlich sind. Dennoch ist es eine Referenz zum Sachverhalt.

Jede Blu-ray (mit wenigen Ausnahmen) hat DRM ‑ also kein Blue-ray benutzen!
Überwachungskameras mit Verbindung ins Internet von mehr als 70 Markenartikel haben Sicherheitslücken, die jedermann zugucken lassen.
Erhebliche Sicherheitslücke in Samsung „Smart Home“: Unautorisierte können aus der Ferne Steuerung übernehmen.

Samsung widerspricht, dass dies eine „offene“ Plattform und das Problem teilweise die Schuld der App-Entwickler sei. Ist die Anwendungssoftware proprietär, ist das wahrlich der Fall.

Alles was den Namen „Smart“ trägt, linkt einen höchstwahrscheinlich auf die eine oder andere Weise.
Schadsoftware auf über Amazon-Marktplatz erhältliche Überwachungskameras gefunden.

Eine Kamera ohne Internetverbindung, die lokal auf einem physischen Datenträger aufzeichnet, stellt keine Bedrohung durch Überwachung dar ‑ weder durch die Beobachtung durch die Kamera selbst noch durch Schadsoftware in der Kamera.
FitBit Fitness-Überwacher haben Bluetooth-Sicherheitslücke, die Angreifern erlaubt Schadsoftware auf Geräte zu übertragen, die sich anschließend mit damit interagierenden Rechnern und anderen FitBit-Überwachungsgeräten austauscht.
„Selbstverschlüsselnde“ Plattenlaufwerke führen die Verschlüsselung mittels proprietärer Firmware aus, der man daher nicht uneingeschränkt vertrauen kann. Western Digitals „My Passport“-Festplatten haben eine Hintertür.
Infusionspumpen von Hospira (einem weltweit agierenden US-Anbieter von injizierbaren Arzneimitteln und Infusionstechnologien), welche der Schmerzbehandlung und der parenteralen Versorgung einer optimalen Patientenversorgung dienen, wurden von einem Sicherheitsexperten als das unsicherste IP-Gerät das ich bisher gesehen habe bewertet.

Je nachdem welches Arzneimittel infundiert wird, könnte die Unsicherheit die Tür zu einem Mord öffnen.
Aufgrund der schlechten Sicherheit in einer Medikamentenpumpe könnten Cracker Patienten töten.
„Intelligentes Wohnen“ [engl.] entpuppt sich dummerweise anfällig für Angriffe.
Die US-Bundeshandelskommission FTC straft Unternehmen wegen Herstellung von Webcams mit schlechten Sicherheitsstandards ab, so dass es für jedermann leicht war zuzugucken.[2]
Durch Übernahme der Steuerung von medizinischen Implantate per Funk zu töten ist möglich. Mehr Informationen unter BBC News und im IOActive Labs Research-Blog.
Eine Menge Geräte in Krankenhäusern haben eine lausige Sicherheit, und das kann tödlich sein.[3]
Geräte bzw. Terminals zum bargeldlosen Zahlen an elektronischen Kassen (eigentlich Verkaufsort), sogenannte Point-of-Sale (POS)-Terminals wurden ‑ unter Windows ‑ übernommen und zu einem Botnetz gemacht, um Kreditkartendaten von Kunden zu sammeln.
Vizio, ein nicht börsennotiertes US-Unternehmen im Bereich Unterhaltungselektronik, verwendete eine Firmware-„Verbesserung“, um ihre Fernsehgeräte u. a. zu veranlassen, herumzuschnüffeln, was Zuschauer sich angucken. Die Fernseher taten dies zuvor nicht.
LG deaktiviert Netzwerkfunktionen auf zuvor gekauften „Smart“-Fernsehgeräten, sofern Käufer nicht zustimmen LG herumschnüffeln und persönlichen Daten verteilen zu lassen.
Barbie wird Kinder und Erwachsene ausspionieren.
Cisco TNP IP-Telefone sind Spionagegeräte.
Die „aufgeweckte“ Kamera Nest Cam (vormals Dropcam) guckt immer zu, selbst wenn der besitzende „Eigentümer“ sie ausgeschaltet hat.

Ein Gerät, was als „Smart“ bezeichnet wird, bedeutet, dass der Hersteller es verwendet, um Sie zu übervorteilen.
Vizio geht in puncto Spionage seiner Benutzer sogar noch einen Schritt weiter als andere Fernsehhersteller: ihre „smart“ TVs analysieren detailliert Sehgewohnheiten und verknüpfen diese mit der IP-Adresse, damit Werbetreibende einen über die Geräte verfolgen können.

Es ist möglich dies zu deaktivieren, aber es standardmäßig aktiviert zu haben ist bereits ein Unrecht.
Das Bündnis des US-Herstellers von digitalen Videorekordern Tivo mit dem US-Medienkonzern Viacom führt 2,3 Millionen Haushalte zu den 600 Millionen sozialen Medien-Profilen, die das Unternehmen bereits überwacht, hinzu. TiVo-Kunden sind sich dessen nicht bewusst, dass sie von Werbetreibenden beobachtet werden. Durch Verbinden von Informationen über das Fernsehverhalten mit Online-Social-Media-Beteiligung kann Tivo jetzt TV-Werbung mit Online-Käufen korrelieren und standardmäßig alle Nutzer neuer gemeinsamer Überwachung aussetzen.
Einige Internet- und TV-Spots spielen von auf in Reichweite befindlichen anderen Geräten laufender proprietärer Schadsoftware aufgreifbare unhörbare Töne ab, um bestimmen zu können, dass sie sich in der Nähe befinden. Sobald Ihre internetfähigen Geräte mit Ihrem Fernsehgerät] verbunden sind, können Werbetreibende Anzeigen mit Netzaktivität und anderen geräteübergreifenden Verfolgen korrelieren.
Vizio, ein amerikanisches, nicht börsennotiertes Unternehmen im Bereich Unterhaltungselektronik, „smarte“ Fernsehgeräte identifizieren und zeichnen alles auf was man anguckt, selbst wenn es sich nicht um ein Fernsehprogramm handelt.
Amazon „Smart“-TV-Geräte schnüffeln die ganze Zeit mit.
Samsung und LG „Smart“-TV-Geräte übertragen die Stimme der Benutzer über das Internet an eine dritte Firma, Nuance. Nuance kann es sichern und würde es dann der US-Regierung oder einer anderen aushändigen müssen.

Die Spracherkennung ist als nicht vertrauenswürdig einzustufen, es sei denn, sie erfolgt auf dem eigenen Rechner durch Freie Software.

In seiner Datenschutzbestimmung bestätigt Samsung ausdrücklich, dass Sprachdaten, die vertrauliche Informationen enthalten, an Dritte übertragen werden.
LG „Smart“-TV-Geräte erfassen und senden das Sehverhalten des Nutzers auch gegen dessen Willen unverschlüsselt an LG-Server (die Tatsache, dass der Server auf den Empfang mit einer HTTP-Fehlermeldung ‚404 Nicht gefunden‘ reagiert, bedeutet eigentlich nichts: der Server konnte die Daten trotzdem erfassen).[6]

Schlimmer noch ist, LG schnüffelt andere Geräte im lokalen Netzwerk des Nutzers aus.

LG erklärte daraufhin, sie hätten den Fehler behoben um dies zu unterbinden, aber jedes Produkt könnte so ausspionieren.
Das Glasfaser-Web-TV-Angebot von Verizon FiOS TV schnüffelt aus, welche Programme man guckt, sogar was man plant aufzunehmen.