Die Video-Encoder auf den vom Huawei-Tochterunternehmen HiSilicon entwickelten Chips sind mit zahlreichen Schwachstellen und Hintertüren ausgestattet. Ein Sicherheitsforscher stuft die Lücken als kritisch ein. HiSilicon streitet ab, die Schwachstellen selbst implementiert zu haben.
Wie der Sicherheitsforscher Alexei Kojenov in einem umfangreichen Bericht schreibt, sind in den Video-Encodern auf der Basis vom HI3520D-Chipset viele Schwachstellen zu finden. Das Chipset wird von HiSilicon entwickelt und von Programmen dazu verwendet, H.264- oder H.265-Videos zu kodieren. Die Streams werden unter anderem im Netzwerk bereitgestellt.
Encoder verfügen über Standard-Passwort
Ein Teil der Software-Encoder ist mit einem Standard-Passwort, das zur Wiederherstellung des Zugriffs auf das Gerät verwendet werden kann, ausgestattet. Das Passwort wird in keiner Dokumentation genannt und ist daher als von den Entwicklern eingebaute Backdoor anzusehen. Über eine Telnet-Verbindung ist es möglich, sich mit dem Standard-Passwort an dem Gerät anzumelden und das komplette Linux-System zu übernehmen.
Mit Hilfe anderer Sicherheitslücken ist es möglich, Dateien ohne vorherige Authentifizierung auf das Gerät hochzuladen oder Videostreams ohne Berechtigung umzuleiten. Obwohl die Schwachstellen mit einer Firewall abgesichert werden können, sollen zahlreiche verwundbare Modelle aus dem Internet erreichbar sein. Insgesamt sind hunderte Geräte betroffen.
Wer für die Sicherheitslücken verantwortlich ist, bleibt momentan noch ziemlich unklar. In einem Statement bestreitet Huawei, dass HiSilicon die Backdoors absichtlich eingebaut hat. Die Schwachstellen sollen nicht direkt aus den Chips und auch nicht aus den von HiSilicon entwickelten Entwickler-Kits (SDKs) stammen. Es wäre möglich, dass die Hintertüren von einem Drittanbieter, der an der Encoding-Software gearbeitet hat, verursacht wurden. Cpu, Huawei, Chip, SoC, HiSilicon, Kirin 970
Quelle: winfuture.de
Wie der Sicherheitsforscher Alexei Kojenov in einem umfangreichen Bericht schreibt, sind in den Video-Encodern auf der Basis vom HI3520D-Chipset viele Schwachstellen zu finden. Das Chipset wird von HiSilicon entwickelt und von Programmen dazu verwendet, H.264- oder H.265-Videos zu kodieren. Die Streams werden unter anderem im Netzwerk bereitgestellt.
Encoder verfügen über Standard-Passwort
Ein Teil der Software-Encoder ist mit einem Standard-Passwort, das zur Wiederherstellung des Zugriffs auf das Gerät verwendet werden kann, ausgestattet. Das Passwort wird in keiner Dokumentation genannt und ist daher als von den Entwicklern eingebaute Backdoor anzusehen. Über eine Telnet-Verbindung ist es möglich, sich mit dem Standard-Passwort an dem Gerät anzumelden und das komplette Linux-System zu übernehmen.
Mit Hilfe anderer Sicherheitslücken ist es möglich, Dateien ohne vorherige Authentifizierung auf das Gerät hochzuladen oder Videostreams ohne Berechtigung umzuleiten. Obwohl die Schwachstellen mit einer Firewall abgesichert werden können, sollen zahlreiche verwundbare Modelle aus dem Internet erreichbar sein. Insgesamt sind hunderte Geräte betroffen.
Wer für die Sicherheitslücken verantwortlich ist, bleibt momentan noch ziemlich unklar. In einem Statement bestreitet Huawei, dass HiSilicon die Backdoors absichtlich eingebaut hat. Die Schwachstellen sollen nicht direkt aus den Chips und auch nicht aus den von HiSilicon entwickelten Entwickler-Kits (SDKs) stammen. Es wäre möglich, dass die Hintertüren von einem Drittanbieter, der an der Encoding-Software gearbeitet hat, verursacht wurden. Cpu, Huawei, Chip, SoC, HiSilicon, Kirin 970
Quelle: winfuture.de