Onderzoekers die eind vorig jaar aantoonden dat miljoenen apparaten op internet zoals routers, ip-camera's en modems kwetsbaar zijn omdat ze dezelfde encryptiesleutels gebruiken, laten nu weten dat de situatie alleen maar erger is geworden.

Aanvallers kunnen hierdoor man-in-the-middle-aanvallen uitvoeren en versleuteld verkeer afluisteren en ontsleutelen. Daardoor zou gevoelige informatie in verkeerde handen terecht kunnen komen. Het probleem speelt bij zogeheten embedded apparaten, waaronder routers, modems, ip-camera's en voip-telefoons. Onderzoekers van beveiligingsbedrijf SEC Consult bekeken voor hun onderzoek de firmware van meer dan 4.000 van dergelijke apparaten, afkomstig van meer dan 70 fabrikanten.

Er werd vooral gekeken naar cryptografische sleutels in de firmware, zoals publieke sleutels, privésleutels en certificaten. Het gaat dan vooral om sleutels die worden gebruikt om verbinding via ssh te maken en X.509-certificaten die voor https worden gebruikt. In totaal werden bij de ruim 4.000 onderzochte apparaten meer dan 580 unieke privésleutels aangetroffen.

Deze informatie werd vervolgens gecorreleerd met data van grootschalige internetscans. Daaruit kwam naar voren dat de dataset met de 580 unieke sleutels de privésleutels van 9% van alle https-hosts op het web bevatte en de privésleutels van meer dan 6% van alle ssh-hosts. Tenminste 230 van de 580 sleutels werden actief gebruikt en op 3,2 miljoen hosts aangetroffen.

Nieuw onderzoek

Inmiddels zijn negen maanden verstreken en hebben de onderzoekers zo'n 50 verschillende fabrikanten en internetproviders gewaarschuwd. Daarop besloten ze opnieuw een scan naar het aantal apparaten uit te voeren dat bekende privésleutels voor https-servercertificaten gebruikt. Tot verbazing van de onderzoekers bleek het aantal met 40% te zijn toegenomen naar 4,5 miljoen apparaten.

Volgens de onderzoekers heeft deze ontwikkeling verschillende verklaringen, zoals het niet uitbrengen van updates door fabrikanten, bijvoorbeeld omdat het om niet meer ondersteunde apparaten gaat. Maar zelfs als er updates beschikbaar zijn worden embedded apparaten vaak niet gepatcht. Onvoldoende firewalling wordt ook als een reden genoemd. De onderzoekers hebben nu hun onderzoeksdata op GitHub beschikbaar gemaakt.

Daarnaast herhalen ze hun bevindingen van vorig jaar, namelijk dat fabrikanten unieke cryptografische sleutels in hun apparatuur moeten gebruiken, internetproviders op de apparatuur die ze hun klanten geven de remote toegang op de WAN-poort moeten uitschakelen en eindgebruikers hun ssh-hostsleutels en X.509-certificaten naar apparaat-specifieke versies veranderen.