Proprietäre Unsicherheit

Weitere Beispiele proprietärer Schadsoftware

Unfreie (proprietäre) Software entspricht sehr häufig einem Schadprogramm (entworfen, um unerwünschte und gegebenenfalls schädliche Funktionen auszuführen, Nutzer also schlecht behandeln). Unfreie Software wird von seinen Entwicklern kontrolliert, welches sie in eine Position der Macht gegenüber Nutzer versetzt. Das ist die grundlegende Ungerechtigkeit. Häufig üben Entwickler diese Macht zum Schaden derer aus, denen sie eigentlich dienen sollte.

Diese Seite zeigt eindeutig nachgewiesene Fälle von Unsicherheit in proprietärer Software, die schwerwiegende Folgen hat oder anderweitig erwähnenswert ist.

Es ist unangebracht aus der Luft gegriffen, freie Software mit proprietärer Software als perfekt zu vergleichen. Die Medien machen aber implizit häufig genau das, wann auch immer eine Sicherheitslücke in einem freien Programm entdeckt wird. Die folgenden Beispiele zeigen, dass proprietäre Software nicht nur nicht perfekt, sondern häufig auch sehr schlampig programmiert ist.

Genauso wäre es unangebracht aus der Luft gegriffen, proprietäre Software mit freier Software als perfekt zu vergleichen. Jedes nicht-triviale Programm enthält Programmfehler, und jedes System, sei es frei oder proprietär, kann Sicherheitslücken aufweisen. Irren ist menschlich, nicht verwerflich. Aber Entwickler proprietärer Software missachten häufig klaffende Löcher, oder führen sie sogar vorsätzlich ein. In jedem Fall lassen sie Nutzer im Regen stehen, irgendwelche auftretende Sicherheitsprobleme beheben zu können. Was verwerflich an proprietärer Software ist, dass Nutzer dem hilflos gegenüberstehen.

Sollten Sie von einem Beispiel wissen, dass hier genannt werden sollte aber nicht aufgeführt wird, informieren Sie uns bitte unter <webmasters@gnu.org> darüber. Bitte geben Sie die URL einer vertrauenswürdigen Referenz (oder zwei) an, um die Einzelheiten aufzuzeigen.

• Privatsphäre ade: Samsung-Smartphones verschicken per Nachrichten-App willkürlich die Fotos auf dem Gerät an beliebige Kontakte.

• Eine der Gefahren des „Internet der Feinheiten" ist, dass man, sollte man seinen [Internet-]Dienstanbieter verlieren, u. a. auch die Steuerung des eigenen Hauses und der Geräte darin verliert.

  Zur eigenen Sicherheit sollte kein Gerät mit einer Verbindung zum realen Internet verwendet werden.

• Amazon […] öffnet Paketboten und anderen Dienstleistern die Haustür zum privaten „Smart“-Heim. Würde man es nicht (besser) wissen, hat das System eine gravierende Sicherheitslücke!?

• Intels vorsätzliche „Management Engine“-Hintertür hat auch unbeabsichtigte Hintertüren.

• Der Schutz, den die Hersteller eingebaut haben, lasse sich bei Autos praktisch aller Massenhersteller binnen Sekunden knacken und ermöglicht den Airbag ‑ während der Fahrt ‑ aus der Ferne auszulösen.

• Eine „kluge“ für Krankenhäuser entworfene intravenöse Pumpe ist mit dem Internet verbunden. Selbstredend ist deren Sicherheit bereits geknackt.

  Hinweis: Dieser Artikel missbraucht den Begriff „Hacker“ mit Bezug auf Cracker.

• Die schlechte Sicherheit vieler Internet-der-Dinge-Geräte ermöglicht Internetdienstanbietern (IDA) diejenigen auszuschnüffeln, die diese benutzen.

  Setzen Sie sich dem nicht aus und weisen all die IdD zurück!

  Es ist bedauerlich, dass der Artikel den Begriff „monetarisieren“ verwendet.

• Siri, Alexa und all die anderen Sprachsteuerungssysteme können durch Programme gekapert werden, die Befehle ‑ für Menschen unhörbar ‑ im Ultraschallbereich wiedergeben.

• Cracker fanden einen Weg die Sicherheit eines „intelligenten“ TVs zu knacken, und nutzen dessen Kamera um Zuschauer zu beobachten.

• Viele Modelle von internetfähigen Kameras enthalten Hintertüren.

  Das ist eine böswillige Funktionalität, aber darüber hinaus bedeutet es grobe Unsicherheit, da jedermann, einschließlich böswilliger Cracker, diese Konten finden und sie nutzen können, um in die Kameras der Nutzer zu gelangen.

• Das Treiberpaket Conexant HD Audio Driver (Version 1.0.0.46 und vorherige), vorinstalliert auf 28 HP-Notebook-Modellen, schreibt alle Tastatureingaben (einschließlich der Passwörter) des Anwenders in eine lesbare Datei im Dateisystem. Jeder Prozess mit Zugriff auf das Dateisystem oder der MapViewOfFile-API könnte auf das Protokoll zugreifen. Laut Modzero darüber hinaus ermöglicht das Informationsleck via Covert Storage Channel Schadsoftware-Autoren, Tastatureingaben zu erfassen, ohne das Risiko als schädliche Aufgabe von AV-Heuristiken eingestuft zu werden zu riskieren.

• Der proprietäre Code, der Herzschrittmacher, Insulinpumpen und andere medizinische Geräte betreibt, ist voller grober Sicherheitsfehler.

• Die Ausnutzung der Sicherheitslücken von Programmfehlern unter Windows, die von der NSA entwickelt wurden und dann The Shadow Brokers veröffentlichten, werden nun für eine große Anzahl von Windows-Rechnern mit Ransomware eingesetzt.

• Intels CPU-Hintertür: Intel bestätigt 10-jährig bestehende schwerwiegende Sicherheitslücke in Intel Management Engine (IME)-Chipsatz.

  Die Verwundbarkeit ermöglichte einem Cracker bei Geräten der vPro-Plattform auf das Intel Active Management Technology (AMT) Internet-Interface mit einem leeren Passwort zuzugreifen um neben anderen Privilegien Zugriff auf Tastatur, Maus, Monitor zuzugreifen.

  Das es bei neueren Intel-Prozessoren unmöglich ist die Intel Management Engine auszuschalten, hilft nicht. Sogar Nutzer, die ihre Sicherheit proaktiv schützen, können neben Rechner zu nutzen, die nicht mit der Hintertür ausgeliefert werden, nichts tun.

• Android-Geräte durch WLAN-Chips übernehmbar ‑ aufgrund schadhafter Software in Broadcoms unfreier Firmware.[4]

• Mieles „Internet der [knackbaren] Dinge“-Gerät zur Desinfektion medizinischer Geräte und Laborbedarf enthält Sicherheitslücke.[1]

  Ein Cracker könnte beispielsweise auf das Dateisystem des Geräts zugreifen, mit Schadsoftware infizieren und Angriffe auf andere Geräte im Netzwerk erzwingen. Da diese Geräte u. a. in Krankenhäusern eingesetzt werden, könnte ein solcher Angriff potenziell Hunderte von Menschenleben gefährden.

• WhatsApp hat eine Funktion eingebaut, welche als „Hintertür“ beschrieben worden ist, da sie Regierungen ermöglichen würde, dessen Verschlüsselung auszuhebelnn.

  Die Entwickler behaupten, dass sie nicht als Hintertür beabsichtigt war, und das kann gut wahr sein. Aber das lässt die Kernfrage unbeantwortet:, ob sie als eine funktioniert. Da es sich um kein freies Programm handelt, können wir es per Untersuchung nicht überprüfen …

• Die „smarten“ Spielzeuge My Friend Cayla und i-Que können mit einem Mobiltelefon aus der Ferne kontrolliert werden. Physischer Zugang ist nicht erforderlich. Cracker können das Spielzeug mit dem Handy fernsteuern. Dadurch könnten Cracker alles hören was gesagt wird und sogar durch das Spielzeug selbst sprechen.

  Das könnte bedeuten, dass Einbrecher über die Spielsachen sprechen und das Kind bitten können die Haustür zu öffnen, während Mami gerade nicht guckt.

• Mobile Apps zur Kommunikation mit intelligentem und doch dummen Auto haben sehr törichte Sicherheitsvorkehrung.

  Dies ist neben der Tatsache, dass das Auto ein Mobilfunk-Modem enthält, das Big Brother jederzeit die genaue Position mitteilt. Besitzt man so eine Auto, wäre man klug beraten sowohl das Modem abzuklemmen als auch das Tracking zu deaktivieren.

• Plant man den Kauf eines gebrauchten „intelligenten“ Autos, Hauses, TV-Geräts, Kühlschranks usw., können Vorbesitzer diese noch immer fernsteuern.

• Samsung-Handys haben eine Sicherheitslücke, die einer SMS-Nachricht ermöglicht Ransomeware zu installieren.

• LTE-Telefonnetze der vierten Generation (4G), auch als NGMN (Next Generation Mobile Networks) bezeichnet, sind extrem unsicher. Sie können von Dritten übernommen und für Man-in-the-Middle-Angriffe verwendet werden.

• Aufgrund schwacher Sicherheit ist es leicht, die Türen von 100 Millionen von Volkswagen gebauten Autos zu öffnen.

• Ransomware ist für ein Thermostat entwickelt worden, das proprietäre Software verwendet.

• Ein Fehler in Internet Explorer und Edge ermöglicht Angreifer Microsoft Anmeldeinformationen abzurufen, wenn der Benutzer darin getäuscht wird einen böswilligen Verweis zu besuchen.

• „Gelöschte“ WhatsApp-Nachrichten werden nicht vollständig gelöscht:sie können auf verschiedene Weise wiederhergestellt werden!

• Eine Schwachstelle in Apples Bild-E/A-API erlaubte Angreifern Schadcode aus jeder beliebigen Applikation heraus auszuführen, die diese API zur Darstellung einer Bilddatei nutzt.

• Ein Fehler in einer bei Sendemasten sowie Mobiltelefonen und Routern genutzten proprietären ASN.1-Bibliothek ermöglicht die Kontrolle über jene Systeme.

• Antiviren-Programme haben so viele Fehler, dass sie die Sicherheit verschlechtern können.

  GNU/Linux braucht keine Antivirus-Software.

• Überwachungskameras mit Verbindung ins Internet von mehr als 70 Markenartikel haben Sicherheitslücken, die jedermann zugucken lassen.

• Erhebliche Sicherheitslücke in Samsung „Smart Home“: Unautorisierte können aus der Ferne Steuerung übernehmen.

  Samsung widerspricht, dass dies eine „offene“ Plattform sei und das Problem jedoch teilweise die Schuld der App-Entwickler ist. Ist die Anwendungssoftware proprietär, ist das wahrlich der Fall.

  Alles was den Namen „Smart“ trägt, linkt einen höchstwahrscheinlich auf die eine oder andere Weise.

• Das Großserien-Elektroauto Nissan Leaf hat ein eingebautes Infotainmentsystem, das praktisch jedermann via Mobilfunkmodem erlaubt auf (seinem) Bordrechner per Fernzugriff zuzugreifen und verschiedenste Einstellungen vorzunehmen.

  Da das System keine Authentifizierung beim Zugriff auf das Mobilfunkmodem durchführt, ist das recht einfach. Doch selbst wenn diese angefordert würde, könnte man nicht mit Gewissheit sagen, ob Nissan nicht auch Zugang hätte. Die Software im Auto ist proprietär, was bedeutet, sie erfordert blindes Vertrauen von seinen Benutzern.

  Selbst wenn niemand aus der Ferne zum Auto in Verbindung steht, ermöglicht das Mobilfunksystem ‑ wie jedes andere auch ‑  dem Mobilfunkanbieter, ständig die Route des Autos zu verfolgen. Das Mobiltelefon-Modem physisch zu entfernen wäre möglich …

• Schadsoftware auf über Amazon-Händler erhältliche Überwachungskameras gefunden.

  Eine Kamera ohne Internetverbindung, die lokal auf einem physischen Datenträger aufzeichnet, stellt keine Bedrohung durch Überwachung dar ‑  weder durch die Beobachtung durch die Kamera selbst noch durch Schadsoftware in der Kamera.

• Ein Programmfehler in der iDings Nachrichtenanwendung erlaubte einer böswilligen Internetpräsenz den gesamten Nachrichtenverlauf eines Benutzers abzuziehen.

• Viele proprietäre Zahlungs-Apps senden persönliche Daten auf unsichere Art und Weise. Unerfreulichster Aspekt dieser Apps ist jedoch: die Zahlung ist nicht anonym.

• FitBit Fitness-Überwacher haben Bluetooth-Sicherheitslücke, die Angreifern erlaubt Schadsoftware auf die Geräte zu übertragen, die sich anschließend mit damit interagierenden Rechnern und anderen FitBit-Überwachungsgeräten austauscht.

• „Selbstverschlüsselnde“ Plattenlaufwerke führen die Verschlüsselung mittels proprietärer Firmware durch, der man daher nicht uneingeschränkt vertrauen kann. Western Digitals „My Passport“-Festplatten haben eine Hintertür.

• Apple OS X hatte vorsätzlich 4 Jahre eine lokale Hintertür, die von Angreifern ausgenutzt werden konnte, um Root-Rechte zu erlangen.

• Sicherheitsforscher entdeckten eine Schwachstelle in Diagnose-Dongles für Kraftfahrzeugortung und -versicherung, über die mittels einer SMS die Fernsteuerung eines Autos oder Lastwagens möglich ist.

• Cracker konnten „Vernetzte Fahrzeug“-Technologie eines Jeep fernsteuern und manipulieren.[1]
  Unter anderem konnte das Fahrzeug verfolgt, der Motor gestartet oder gestoppt und die Bremsen aktiviert bzw. deaktiviert werden und vieles mehr.

  Vorstellbar wäre, dass Chrysler und NSA dies auch können.

  Wäre ein Fahrzeug serienmäßig mit „Infotainmentsystem“ ausgestattet, sollte es besser grundsätzlich deaktiviert werden.

• Infusionspumpen von Hospira (einem weltweit agierenden US-Anbieter von injizierbaren Arzneimitteln und Infusionstechnologien), welche der Schmerzbehandlung und der parenteralen Versorgung einer optimalen Patientenversorgung dienen, wurden von einem Sicherheitsexperten als das unsicherste IP-Gerät das ich bisher gesehen habe bewertet.

  Je nachdem welches Arzneimittel infundiert wird, könnte die Unsicherheit die Tür zu einem Mord öffnen.

• Aufgrund der schlechten Sicherheit in einer Medikamentenpumpe könnten Cracker Patienten töten.

• Der US-Geheimdienst NSA kann sich Zugang zu iPhone- und BlackBerry-Geräten sowie zu Geräten mit Android-Betriebssystem verschaffen. Es gibt zwar kaum Details, es scheint aber, dass dies nicht über die universelle Hintertür funktioniert, von der wir wissen, dass sie nahezu alle tragbaren Telefone haben. Dies kann verschiedene ausnutzbare Programmfehler einschließen. Es gibt viele Programmfehler in der Mobilfunksoftware von Mobiltelefonen.

• „Intelligentes Wohnen“ [engl.] entpuppt sich dummerweise anfällig für Angriffe.

• Die Unsicherheit von WhatsApp [engl.] macht Abhören zum Kinderspiel.

• Die US-Bundeshandelskommission FTC straft Unternehmen wegen Herstellung von Webcams mit schlechten Sicherheitsstandards ab, so dass es für jedermann leicht war zuzugucken.[2]

• Es ist möglich, die Kontrolle über einige Fahrzeug-Bordrechner durch Schadsoftware in Musikdateien zu übernehmen. Auch per Funk. Weitere Informationen …

• Es ist möglich, Menschen durch Übernahme der Kontrolle medizinischer Implantate per Funk zu töten. Weitere Informationen unter BBC News (2012), Medical device hack attacks may kill, researchers warn und IOActive (2013), „Broken Hearts“: How plausible was the Homeland pacemaker hack?[3]

• Eine Menge Geräte in Krankenhäusern haben eine lausige Sicherheit, und das kann tödlich sein.[3]

• Geräte bzw. Terminals zum bargeldlosen Zahlen an elektronischen Kassen (eigentlich Verkaufsort), sogenannte Point-of-Sale (POS)-Terminals wurden ‑ unter Windows ‑ übernommen und zu einem Botnetz gemacht, um Kreditkartendaten von Kunden zu sammeln.

• Eine Applikation, die „Identitätsdiebstahl“ (Zugriff auf persönliche Daten) durch Speichern von Nutzerdaten auf einem speziellen Server verhindern soll, wurde vom Entwickler deaktiviert, als dieser eine Sicherheitslücke entdeckte.

  Dieser Entwickler scheint generell im Umgang mit personenbezogenen Daten von Dritten gewissenhaft zu sein, aber es kann nicht die Daten vor dem Staat schützen. Ganz im Gegenteil: dem Server von irgendjemand anderen die eigenen Daten anzuvertrauen, untergräbt, sofern nicht zuvor selbst mit freier Software verschlüsselt, Ihre Rechte.

• Einige Flash-Speicher enthalten modifizierbare Software, die sie anfällig für Viren macht.

  Wir nennen dies nicht „Hintertür“, weil es üblich ist, dass man auf einem Rechner ein neues System in Anbetracht physikalischen Zugangs darauf installieren kann. Allerdings sollten Speichersticks und -karten nicht auf diese Weise modifizierbar sein.

• Austauschbare unfreie Software in Festplatten kann von einem unfreien Programm geschrieben werden. Dies macht ein System anfällig für dauerhafte Angriffe, die übliche Forensik nicht erkennt.

• Viele Smartphone-Applikationen verwenden unsichere Authentifizierungsmethoden bei der Speicherung IHRER persönlichen Daten auf (irgendwelchen) Internetservern. Dies macht persönliche Daten wie E-Mail-Adressen, Passwörter und Gesundheitsinformationen angreifbar. Da viele dieser Apps proprietär sind, macht es schwierig ‑ wenn nicht gar unmöglich ‑ zu wissen, welche Apps eine Gefahr darstellen.