Werbung
Das US-amerikanische Unternehmen Netgear verteilt aktuell seine privaten Schlüssel für HTTPS-Verbindungen. Besagte Schlüssel lassen sich der Firmware entnehmen. Dies haben jetzt zwei Sicherheitsforscher herausgefunden und den genannten Key bereits seit einigen Tagen auf Github veröffentlicht. Zwar haben die Forscher den Hersteller im Vorfeld kontaktiert, jedoch zeigte sich Netgear nicht gerade kooperativ, wenn es um die Zusammenarbeit mit Sicherheitsforschern ging. Dies schienen die Entdecker des Zertifikats ebenfalls noch im Hinterkopf gehabt zu haben. Nachdem das Entdecker-Team auch nach vier Werktagen keinen direkten Kontakt zum Unternehmen hatte, entschied man sich kurzfristig für einen Release.
Sind Angreifer im Besitz des Zertifikats, ist es theoretisch möglich, einen sogenannten Man-In-The-Middle-Angriff durchzuführen. Hierbei schaltet sich der Angreifer zwischen Sender und Empfänger. Nun ist der Angreifer in der Lage, sämtlichen Traffic mitzuschneiden. Obwohl ein öffentliches Bug-Bounty-Programm von Netgear existiert, haben sich die Forscher für eine Veröffentlichung entschieden. Die Wissenschaftler sind der Meinung, dass die Öffentlichkeit über diese Zertifikats-Lecks Bescheid wissen sollte, um sich angemessen zu schützen. Außerdem sollten die fraglichen Zertifikate widerrufen werden, damit große Browser ihnen nicht mehr vertrauen.
Eine offizielle Stellungnahme von Netgear steht bislang aus. Ebenfalls ist unklar, wie lange das Unternehmen benötigen wird, um das entsprechende Zertifikat auszutauschen. Laut Aussagen des Mozilla-Entwicklers Adamin Roach ist es zwar möglich, einen Angriff auf der Grundlage des Zertifikats durchzuführen, jedoch wäre dies in der Praxis eher weniger zu erwarten. Allerdings sollte man dem Zertifikat keinesfalls mehr vertrauen, da der private Schlüssel bekannt sei.