Werbung
Nach und nach werden mehr Details zu den Sicherheitlücken in der Live-Update-Software bekannt. Noch immer ist der Umfang der infizierten Systeme schwer abzuschätzen. Natürlich spricht ASUS von einer geringen Anzahl, aber vorläufige Schätzungen von Kaspersky und Symantec gehen die in die Hunderttausende – zumal bereits mehrere zehntausend Systeme positiv auf die Schadsoftware getestet wurden und die Dunkelziffer entsprechend hoch sein dürfte.
Nun aber offenbaren sich die Lücken, die offenbar erst dazu führten, dass Malware in die Software von ASUS eingebaut werden konnte. So haben gleich mehrere Softwareentwickler von ASUS in ihren GitHub-Repositories Code veröffentlicht, der auch Zugangsdaten und Passwörter enthalten hat. Damit sei es unter anderem möglich gewesen, einen E-Mail-Account zu übernehmen, der Bestandteil eines internen Entwicklerkreises war, über den Vorabversionen der Anwendungen verteilt wurden. In den E-Mails, die über diesen Account abgerufen werden konnten, waren weitere sensible Daten enthalten – etwa Informationen zum internen Netzwerk von ASUS.
Demnach wurde es den Angreifern recht einfach gemacht, auf firmeninterne Systeme zuzugreifen und so konnte auch infizierte Software eingeschleust werden. TechCrunch hat entsprechende Screenshots enthalten, die diesen Zugriff auf die E-Mails beweisen können und damit auch den initialen Angriffspfad dokumentieren. Derzeit kann aber noch kein direkter Zusammenhang zwischen den Passwörtern in den GitHub-Repositories und der Einschleusung von Malware in die Live-Update-Software hergestellt werden.
Der niederländische Entwickler und Hacker SchizoDuckie soll ASUS vor zwei Monaten über die GitHub-Repositories mit den enthaltenen sensiblen Daten informiert haben. Einige Tage später wurden dann drei GitHub-Repositories komplett geleert. Die Informationen darauf sollen über ein Jahr verfügbar gewesen sein und boten damit viel Zeit entdeckt zu werden.
GitHub-Repositories sind immer wieder eine Quelle solcher Sicherheitslücken, da Software-Entwickler ihren Code hier ablegen, ohne die sicherheitsrelevanten Daten, die im Code enthalten sind, vorher zu löschen. Sicherheitsforscher gehen davon aus, dass 100.000 Repos Nutzerdaten, Passwörter oder sogar Kryptoschlüssel enthalten, die öffentlich gar nicht zugänglich sein sollten.