Proprietäre Unsicherheit

Diese Übersetzung berücksichtigt möglicherweise nicht mehr die seit 2016-07-08 gemachten Änderungen der englischsprachigen Originalfassung. (die Unterschiede). Wenden Sie sich bitte unter <www-de-translators> an das Übersetzungsteam, wenn Sie mithelfen möchten diese Übersetzung zu aktualisieren.

Weitere Beispiele proprietärer Schadsoftware

Diese Seite zeigt eindeutig nachgewiesene Fälle von Unsicherheit in proprietärer Software, die schwerwiegende Folgen hat oder anderweitig erwähnenswert ist.

Es wäre falsch, proprietäre Software mit einer fiktiven Vorstellung zu vergleichen, Freie Software sei perfekt. Jedes nicht triviale Programm enthält Programmfehler, und jedes System, sei es frei oder proprietär, kann Sicherheitslücken aufweisen. Das ist an sich nicht verwerflich. Aber Entwickler proprietärer Software missachten häufig klaffende Löcher oder führen sie sogar absichtlich ein, und Nutzer sind hilflos sie zu beheben.

Überwachungskameras mit Verbindung ins Internet von mehr als 70 Markenartikel haben Sicherheitslücken, die jedermann zugucken lassen.
Erhebliche Sicherheitslücke in Samsung „Smart Home“: Unautorisierte können aus der Ferne Steuerung übernehmen.

Samsung widerspricht, dass dies eine „offene“ Plattform sei und das Problem jedoch teilweise die Schuld der App-Entwickler ist. Ist die Anwendungssoftware proprietär, ist das wahrlich der Fall.

Alles was den Namen „Smart“ trägt, linkt einen höchstwahrscheinlich auf die eine oder andere Weise.
Das Großserien-Elektroauto Nissan Leaf hat ein eingebautes Infotainmentsystem, das praktisch jedermann via Mobilfunkmodem erlaubt auf (seinem) Bordrechner per Fernzugriff zuzugreifen und verschiedenste Einstellungen vorzunehmen.

Da das System keine Authentifizierung beim Zugriff auf das Mobilfunkmodem durchführt, ist das recht einfach. Doch selbst wenn diese angefordert würde, könnte man nicht mit Gewissheit sagen, ob Nissan nicht auch Zugang hätte. Die Software im Auto ist proprietär, was bedeutet, sie erfordert blindes Vertrauen von seinen Benutzern.

Selbst wenn niemand aus der Ferne zum Auto in Verbindung steht, ermöglicht das Mobilfunksystem ‑ wie jedes andere auch ‑ dem Mobilfunkanbieter, ständig die Route des Autos zu verfolgen. Das Mobiltelefon-Modem physisch zu entfernen wäre möglich …
Schadsoftware auf über Amazon-Händler erhältliche Überwachungskameras gefunden.

Eine Kamera ohne Internetverbindung, die lokal auf einem physischen Datenträger aufzeichnet, stellt keine Bedrohung durch Überwachung dar ‑ weder durch die Beobachtung durch die Kamera selbst noch durch Schadsoftware in der Kamera.
Ein Programmfehler in der iDings Nachrichtenanwendung erlaubte einer böswilligen Internetpräsenz den gesamten Nachrichtenverlauf eines Benutzers abzuziehen.
Viele proprietäre Zahlungs-Apps senden persönliche Daten auf unsichere Art und Weise. Unerfreulichster Aspekt dieser Apps ist jedoch: die Zahlung ist nicht anonym.
FitBit Fitness-Überwacher haben Bluetooth-Sicherheitslücke, die Angreifern erlaubt Schadsoftware auf die Geräte zu übertragen, die sich anschließend mit damit interagierenden Rechnern und anderen FitBit-Überwachungsgeräten austauscht.
„Selbstverschlüsselnde“ Festplatten führen die Verschlüsselung mittles proprietärer Firmware aus, der man daher nicht uneingeschänkt vertrauen kann. Western Digitals „My Passport“-Festplatten haben eine Hintertür.
Apple OS X hatte vorsätzlich 4 Jahre eine lokale Hintertür, die von Angreifern ausgenutzt werden konnte, um Root-Rechte zu erlangen.
Sicherheitsforscher entdeckten eine Schwachstelle in Diagnose-Dongles für Kraftfahrzeugortung und -versicherung, über die mittels einer SMS die Fernsteuerung eines Autos oder Lastwagens möglich ist.
Cracker konnten „Vernetzte Fahrzeug“-Technologie eines Jeep fernsteuern und manipulieren.[1]
Unter anderem konnte das Fahrzeug verfolgt, der Motor gestartet oder gestoppt und die Bremsen aktiviert bzw. deaktiviert werden und vieles mehr.

Vorstellbar wäre, dass Chrysler und NSA dies auch können.

Wäre ein Fahrzeug serienmäßig mit „Infotainmentsystem“ ausgestattet, sollte es besser grundsätzlich deaktiviert werden.
Infusionspumpen von Hospira (einem weltweit agierenden US-Anbieter von injizierbaren Arzneimitteln und Infusionstechnologien), welche der Schmerzbehandlung und der parenteralen Versorgung einer optimalen Patientenversorgung dienen, wurden von einem Sicherheitsexperten als das unsicherste IP-Gerät das ich bisher gesehen habe bewertet.

Je nachdem welches Arzneimittel infundiert wird, könnte die Unsicherheit die Tür zu einem Mord öffnen.
Aufgrund der schlechten Sicherheit in einer Medikamentenpumpe könnten Cracker Patienten töten.
Der US-Geheimdienst NSA kann sich Zugang zu iPhone- und BlackBerry-Geräten sowie zu Geräten mit Android-Betriebssystem verschaffen. Es gibt zwar kaum Details, es scheint aber, dass dies nicht über die universelle Hintertür funktioniert, von der wir wissen, dass sie nahezu alle tragbaren Telefone haben. Dies kann verschiedene ausnutzbare Programmfehler einschließen. Es gibt viele Programmfehler in der Mobilfunksoftware von Mobiltelefonen.
„Intelligentes Wohnen“ [engl.] entpuppt sich dummerweise anfällig für Angriffe.
Die Unsicherheit von WhatsApp [engl.] macht Abhören zum Kinderspiel.
Die US-Bundeshandelskommission FTC straft Unternehmen wegen Herstellung von Webcams mit schlechten Sicherheitsstandards ab, so dass es für jedermann leicht war zuzugucken.[2]
Es ist möglich, die Kontrolle über einige Fahrzeug-Bordrechner durch Schadsoftware in Musikdateien zu übernehmen. Auch per Funk. Weitere Informationen …
Es ist möglich, Menschen durch Kontrolle medizinischer Implantate per Funk zu töten. Weitere Informationen unter Medical device hack attacks may kill, researchers warn und “Broken Hearts”: How plausible was the Homeland pacemaker hack?[3]
Eine Menge Geräte in Krankenhäusern haben eine lausige Sicherheit, und das kann tödlich sein.[3]
Geräte bzw. Terminals zum bargeldlosen Zahlen an elektronischen Kassen (eigentlich Verkaufsort), sogenannte Point-of-Sale (POS)-Terminals wurden ‑ unter Windows ‑ übernommen und zu einem Botnetz gemacht, um Kreditkartendaten von Kunden zu sammeln.
Eine Applikation, die „Identitätsdiebstahl“ (Zugriff auf persönliche Daten) durch Speichern von Nutzerdaten auf einem speziellen Server verhindern soll, wurde vom Entwickler deaktiviert, als dieser eine Sicherheitslücke entdeckte.

Dieser Entwickler scheint generell im Umgang mit personenbezogenen Daten von Dritten gewissenhaft zu sein, aber es kann nicht die Daten vor dem Staat schützen. Ganz im Gegenteil: dem Server von irgendjemand anderen die eigenen Daten anzuvertrauen, untergräbt, sofern nicht zuvor selbst mit freier Software verschlüsselt, Ihre Rechte.
Einige Flash-Speicher enthalten modifizierbare Software, die sie anfällig für Viren macht.

Wir nennen dies nicht „Hintertür“, weil es üblich ist, dass man auf einem Rechner ein neues System in Anbetracht physikalischen Zugangs darauf installieren kann. Allerdings sollten Speichersticks und -karten nicht auf diese Weise modifizierbar sein.
Austauschbare unfreie Software in Festplatten kann von einem unfreien Programm geschrieben werden. Dies macht ein System anfällig für dauerhafte Angriffe, die übliche Forensik nicht erkennt.
Viele Smartphone-Applikationen verwenden unsichere Authentifizierungsmethoden bei der Speicherung IHRER persönlichen Daten auf (irgendwelchen) Internetservern. Dies macht persönliche Daten wie E-Mail-Adressen, Passwörter und Gesundheitsinformationen angreifbar. Da viele dieser Apps proprietär sind, macht es schwierig ‑ wenn nicht gar unmöglich ‑ zu wissen, welche Apps eine Gefahr darstellen.

Anmerkungen des Übersetzungsteams:

Weiterführende Referenzen:
1. [1] Heise Security, Hacker [sic] steuern Jeep Cherokee fern, unter: heise.de 2015. (abgerufen 2015-07-23)
2. [2] Heise Security, Black Hat: Zehntausende offene Webcams im Netz, unter: heise.de 2013. (abgerufen 2013-09-07)
3. [3] Süddeutsche Digital, Hack ins Herz, unter: sueddeutsche.de 2010. (abgerufen 2013-11-06)