Alapvető hibákat követnek el az internetre kapcsolódó eszközök gazdái, állapították meg az osztrák SEC Consult kutatói, akik sikeresen felfedték körülbelül 3,2 millió titkosított kiszolgáló privát kulcsát. A kutatók ugyanazt a sérülékenységet fedezték fel a webre kötött összes ilyen kiszolgáló 9 százalékában.

A kutatók több mint 70 gyártó négyzezer eszközében elemezték a beágyazott rendszer (firmware) titkosítókulcsait. A vizsgált rendszerek közt internetes routerek, modemek, IP kamerák, hálózati adattárolók, valamint mobil- és online telefonok szerepelnek. Ezekből több mint 580 egyedi privát kulcsot tudtak megszerezni.

Ez az egész azért veszélyes, mert amennyiben egy rosszindulatú támadó is megszerzi a kulcsot, ahogy a SEC Consult munkatársai tették, ezt az információt felhasználhatja arra, hogy eredetinek tűnő másolatot készítsen az érintett eszközről.

A támadó ezzel a módszerrel könnyen átverheti a felhasználót, aki abban a hitben, hogy az eredeti eszközt webes felületét látja, gondolkodás nélkül megadja a belépési adatait. Kémkedni is nagyszerűen lehet a titkosítókulcsok segítségével, és rá lehet venni a felhasználót kártékony programok telepítésére.

A hiba olyan óriáscégek eszközeit érinti, mint a Cisco, Huawei, GE, Motorola, Seagate, Netgear, Zyxel, Linksys, D-Link és a Trendnet.

Egy kutató úgy írta le a helyzetet, mintha egyetlen kulcsot használnánk minden ajtónkhoz, így ha valaki bejut az egyiken, akkor az összesen át tud haladni. Bár az eszközök feltörése nem triviális, a hekkerek folyamatosan ilyesmivel próbálkoznak, tehát csak idő kérdése, hogy mikor jutnak hozzá a szükséges információkhoz.

A megoldás viszonylag egyszerű: a SEC Consult szakértői szerint azt kell megoldani, hogy minden eszköz véletlenszerűen generált, egyedi titkosítási kulcsot használjon. Ezt előállíthatják már a gyárban is, vagy a felhasználónál az eszköz első indításakor. Néhány gyártó - Cisco, ZTE, ZyXEL, Technicolor, Unify - már közölte, hogy frissíti az eszközeinek a szoftverét.