> > > > ASUS: Passwörter und Netzwerkinfos öffentlich auf GitHub

ASUS: Passwörter und Netzwerkinfos öffentlich auf GitHub

Veröffentlicht am: von

asus logoNach und nach werden mehr Details zu den Sicherheitlücken in der Live-Update-Software bekannt. Noch immer ist der Umfang der infizierten Systeme schwer abzuschätzen. Natürlich spricht ASUS von einer geringen Anzahl, aber vorläufige Schätzungen von Kaspersky und Symantec gehen die in die Hunderttausende – zumal bereits mehrere zehntausend Systeme positiv auf die Schadsoftware getestet wurden und die Dunkelziffer entsprechend hoch sein dürfte.

Nun aber offenbaren sich die Lücken, die offenbar erst dazu führten, dass Malware in die Software von ASUS eingebaut werden konnte. So haben gleich mehrere Softwareentwickler von ASUS in ihren GitHub-Repositories Code veröffentlicht, der auch Zugangsdaten und Passwörter enthalten hat. Damit sei es unter anderem möglich gewesen, einen E-Mail-Account zu übernehmen, der Bestandteil eines internen Entwicklerkreises war, über den Vorabversionen der Anwendungen verteilt wurden. In den E-Mails, die über diesen Account abgerufen werden konnten, waren weitere sensible Daten enthalten – etwa Informationen zum internen Netzwerk von ASUS.

Demnach wurde es den Angreifern recht einfach gemacht, auf firmeninterne Systeme zuzugreifen und so konnte auch infizierte Software eingeschleust werden. TechCrunch hat entsprechende Screenshots enthalten, die diesen Zugriff auf die E-Mails beweisen können und damit auch den initialen Angriffspfad dokumentieren. Derzeit kann aber noch kein direkter Zusammenhang zwischen den Passwörtern in den GitHub-Repositories und der Einschleusung von Malware in die Live-Update-Software hergestellt werden.

Der niederländische Entwickler und Hacker SchizoDuckie soll ASUS vor zwei Monaten über die GitHub-Repositories mit den enthaltenen sensiblen Daten informiert haben. Einige Tage später wurden dann drei GitHub-Repositories komplett geleert. Die Informationen darauf sollen über ein Jahr verfügbar gewesen sein und boten damit viel Zeit entdeckt zu werden.

GitHub-Repositories sind immer wieder eine Quelle solcher Sicherheitslücken, da Software-Entwickler ihren Code hier ablegen, ohne die sicherheitsrelevanten Daten, die im Code enthalten sind, vorher zu löschen. Sicherheitsforscher gehen davon aus, dass 100.000 Repos Nutzerdaten, Passwörter oder sogar Kryptoschlüssel enthalten, die öffentlich gar nicht zugänglich sein sollten.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (2)

#1
Registriert seit: 27.12.2006
NRW
Oberleutnant zur See
Beiträge: 1513
Wenn das wahr ist: *facepalm*
#2
customavatars/avatar283_1.gif
Registriert seit: 03.07.2001
127.0.0.1
Admiral
Altweintrinker
Beiträge: 25502
Asus ist doch für Qualität und gutes Sicherheitsmanagment bekannt, siehe auch:

https://www.golem.de/news/streit-um-routersicherheit-asus-muss-sich-zu-20-jahren-code-audits-verpflichten-1602-119351.html

Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Interstellar: Hunderte CPUs berechnen schwarzes Loch

    Logo von IMAGES/STORIES/2017/SCHWARZES-LOCH

    Der Film Interstellar aus dem Jahre 2014 zeichnete sich vor allem durch eine möglichst realistische Darstellung und Simulation eines schwarzen Loches aus. Christopher und Jonathan Nolan schrieben das Drehbuch und zeichneten sich auch für die filmische Umsetzung verantwortlich. Der... [mehr]

  • Vodafone schaltet erste Gigabit-Anschlüsse über Kabel für 20 Euro

    Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

    Vodafone versorgt ab sofort die ersten Kunden mit einer Geschwindigkeit von bis zu 1 Gbit/s. Das Unternehmen hat hierfür stellenweise sein Kabelnetz auf DOCSIS 3.1 umgerüstet und kann aktuell 400.000 Haushalte mit der schnellen Geschwindigkeit versorgen. Zu den ersten Städten mit der schnellen... [mehr]

  • Nachfrage bei den Grafikkarten soll weiter sinken

    Logo von IMAGES/STORIES/2017/BITCOIN

    Bereits im Mai deutete sich eine sprunghaft sinkende Nachfrage bei den Grafikkarten an, was besonders solche Hersteller zu spüren bekommen haben, die ausschließlich mit den Grafikkarten ihr Geld verdienen. Aus Taiwan kommen nun Meldungen, die eine sinkende bzw. geringe Nachfrage für die... [mehr]

  • Amazon geht mit manipulierten Paketen gegen Diebe vor

    Logo von IMAGES/STORIES/2017/AMAZON

    Amazon hat anscheinend mit immer größeren Problemen beim Diebstahl von Paketen zu kämpfen. Teilweise sollen die Lieferanten die Pakete verschwinden lassen und Amazon bleibt letztendlich auf dem Schaden sitzen. Wie ein Insider berichtet, soll das Unternehmen allerdings in der jüngeren... [mehr]

  • ASUS Software Updates mit Malware verseucht (2. Update)

    Logo von IMAGES/STORIES/2017/ASUS_LOGO

    Bereits mehrfach hat sich gezeigt, dass Software einiger Systemhersteller nicht wirklich mit Fokus auf eine möglichst hohe Software-Sicherheit entwickelt wird. So gab es bereits mehrfach große Sicherheitslücken in Software von ASUS und Gigabyte. Offenbar gab es bei ASUS aber auch noch andere... [mehr]

  • Gewinnwarnung: Schleppende Geschäfte bei Media Markt und Saturn

    Logo von IMAGES/STORIES/2017/MEDIA_MARKT

    Vierzehn Minuten vor Mitternacht und nur wenige Tage vor der Veröffentlichung der eigentlichen Quartalszahlen ging der Elektronik-Händler Ceconomy, unter dessen Dach auch Media Markt und Saturn zusammengeführt werden, am Montagabend mit einer weiteren Adhoc-Meldung an die Öffentlichkeit. Der... [mehr]