Embedded IoT: Krypto-Bibliothek mbed TLS für Lauschattacken anfällig

[ad_1]

Unter gewissen Umständen könnten Angreifer als Man in the Middle den Informationsaustausch von Geräten, die auf mbed TLS setzen, mitschneiden. Abgesicherte Versionen stehen bereit.

In einigen Versionen der Krypto-Bibliothek mbed TLS von ARM klafft eine mit dem Bedrohungsgrad hoch eingestufte Schwachstelle. Setzen Angreifer dort an, können sie sich unter gewissen Voraussetzungen als Man in the Middle in Verbindungen einklinken, warnen die Entwickler.

Die Bibliothek kommt in vielen Embedded IoT-Geräten zum Einsatz, um etwa TLS-Verbindungen einzurichten. Das funktioniert in einem Client-und-Server-Szenario – mit mbed TLS können aber auch einzelne Peers untereinander transportverschlüsselte Verbindungen aufbauen. Mbed TLS steht zudem für einige Linux-Distributionen wie Debian und Ubuntu zur Verfügung.

Nicht alle sind gefährdet

Bedroht sind die Ausgaben ab 1.3.10 und ab 2.1, wenn der Authentifikationsmodus auf “optional” gestellt ist, was standardmäßig nicht der Fall ist. Die Ausgabe 1.3.9 soll nicht betroffen sein. Die Versionen 1.3.21, 2.1.9 und 2.6.0 sind abgesichert.

Einen Übergriff sollen Angreifer client- und serverseitig aus der Ferne mit der Übermittlung einer Kette von X.509-Zertifikaten einleiten können. So soll sich die Authentifikation von verwundbaren Versionen umgehen lassen.

Patchen nicht möglich?

Wer kein Update installieren kann, etwa weil ein IoT-Gerät gar nicht aktualisiert werden kann, muss den Authentifikationsmodus auf “required” einstellen, um sich abzusichern. (des)

[ad_2]

Read more on: Source