Die zunehmende Zahl vernetzter IoT-Geräte ermöglicht es Hackern, Cybersecurity-Schwachstellen für eine Reihe von Angriffen wie Malware, Ransomware und Datendiebstahl auszunutzen. Laut Statista wird die Gesamtzahl der weltweit installierten IoT-Geräte bis 2025 voraussichtlich auf 30,9 Milliarden Geräte ansteigen, gegenüber 13,8 Milliarden Geräten im Jahr 2021.
„Schwachstellen in IoT-Geräten sind besonders gefährlich, da sie Missbrauch sensibler Daten begünstigen und zu physischen Gefahren führen können, wie zum Beispiel Fehlfunktionen von Industrieanlagen, Defekte an medizinischen Geräten oder Störungen von Haussicherheitssystemen“, erläutern Merritt Maxim, Vice President, Research Director, und Elsa Pikulik, Researcher, beide bei Forrester.
Schwachstellen in Bluetooth-Chipsätzen
Kürzlich haben Forscher der Singapore University of Technology and Design (SUTD) in kommerziellen Bluetooth-Chipsätzen Schwachstellen entdeckt, die sie BrakTooth nannten und die sich auf Milliarden von Endgeräten auswirken. Die von SUTD veröffentlichten Ergebnisse wurden in Verbesserungen der IoT-Security-Assessment-Software von Keysight eingebracht.
BrakTooth erfasst grundlegende Angriffsvektoren gegen Geräte, die Bluetooth Classic Basic Rate/Enhanced Data Rate (BR/EDR) verwenden, und dürfte auch Bluetooth-Chipsätze betreffen, die nicht vom SUTD-Team getestet wurden.
„Es ist schwer, den Umfang der von BrakTooth betroffenen Chipsätze genau abzuschätzen“, kommentiert Sudipta Chattopadhyay, Assistenzprofessor am SUTD. „Wir raten allen Herstellern von Bluetooth-Produkten, entsprechende Risikobewertungen durchzuführen, insbesondere wenn ihr Produkt einen anfälligen Chipsatz enthält.“
Die Schwachstellen, zu denen 20 CVEs (Common Vulnerabilities and Exposures) sowie vier noch nicht zu den CVEs zählende Schwachstellen gehören, werden in Bluetooth-Kommunikations-Chipsätzen gefunden, die in System-on-Chip (SoC) Boards verwendet werden. Diese Schwachstellen bergen Risiken wie Remotecodeausführung, Abstürze und Deadlocks. Das SUTD-Team hat die betroffenen Hersteller über die Ergebnisse informiert und ihnen die Möglichkeit gegeben, die Ergebnisse zu reproduzieren und die Schwachstellen zu beheben.
IoT-Security-Assessment-Software
Die IoT-Security-Assesment-Software von Keysight bietet umfassende, automatisierte Tests, um schnell eine große Matrix bekannter und unbekannter Schwachstellen abzudecken. IoT-Sicherheitsbewertungen umfassen neuartige Cybersecurity-Angriffstools und -techniken für drahtlose Schnittstellen wie Wi-Fi, Bluetooth und Bluetooth Low Energy (BLE), um bekannte Schwachstellen zu erkennen und neue Schwachstellen zu entdecken.
Entwicklungsunternehmen können die API-gesteuerte Lösung von Keysight einfach in ihre Entwicklungspipeline mit einer einzigen API für die Steuerung und Anzeige integrieren. Organisationen, die IoT-Geräte einsetzen, können die Software nutzen, um IoT-Geräte zu validieren, bevor sie an Endanwender ausgeliefert werden und wenn neue Schwachstellen auftreten.
