+43 699 / 18199463
office@itexperst.at

Backdoor in Abhör-Kit

Anbieter von Abhörsoftware erlitten einen Schlag: Sicherheitsforscher fanden diverse Backdoors in Software, die den Anbietern zufolge am besten in jeder Telefonkonferenz weltweit eingesetzt werden sollte. In dem Abhör-Kit von NICE fanden die Forscher Zero-Day-Schwachstellen. Durch diese könnten die Angreifer Zugriff auf abgehörte Aufnahmen einschließlich der Namen und Adressen von durch die Polizei überwachten Verdächtigen erlangen.

Die Fehler betreffen NICEs Produkt Recording eXpress, welches sich an Polizei- und Strafverfolgungsbehörden richtet.

Die Sicherheitsexperten von SEC Consult Vulnerability Lab unterrichteten NICE bereits sechs Monate zuvor über die neun gefundenen Schwachstellen. Als ein halbes Jahr später fünf immer noch unverändert waren, veröffentlichte SEC die Ergebnisse.

Die Schwachstellen umfassen eine Root-Backdoor sowie die Möglichkeit, aus der Ferne ohne weitere Authentifizierung auf die Aufnahmen zuzugreifen. Hacker könnten auch in den Server mit den Aufnahmen eindringen und innerhalb des Netzwerkes weitere Angriffe starten. Die Sicherheitsexperten raten den Behörden zunächst davon ab, die Plattform weiterhin zu nutzen, solange nicht alle Schwachstellen beseitigt sind.

NICE‘ Leiter für Kommunikation Erik Snider gibt an, dass die Kunden über die Schwachstellen informiert worden seien und das Risiko einer Attacke nicht sehr hoch sei.

„Wir gehen die Probleme nach der jeweiligen Priorität an und können bestätigen, die meisten bereits behoben zu haben. Die restlichen Reparaturen werden bald abgeschlossen sein.“

„Wir bezweifeln, dass irgendeiner unserer Kunden durch die im Bericht genannten Probleme betroffen ist. Diese Systeme laufen in einer sehr sicheren Umgebung und sind nicht von außerhalb der Organisation zugänglich.“

Bisher ist unklar, inwiefern die Plattform für Außenstehende nicht zugänglich sein soll. Die Backdoor war ein verstecktes und fest programmiertes Administratorkonto in der MySQL-Umgebung der Plattform. Zusammen mit den zugänglichen Aufnahmen stellt dies die schwerwiegendste der Sicherheitslücken dar.

Die Sicherheitsforscher Johannes Greil und Stefan Viehböck dazu:

„Nicht authentifizierte Angreifer können beispielsweise auf die exportierten Listen von Nutzern zugreifen, die überwacht/abgehört werden. Die Angreifer können auf detaillierte Informationen wie Vor- und Nachname, E-Mail-Adresse und Nutzername/Kennung zugreifen.“

Darüber hinaus wurden verschiedene Fehler in Bezug auf Cross-Site-Scripting und SQL-Injections aufgelistet. Die Forscher gehen davon aus, dass noch weitere Schwachstellen existieren.

Artikel von theregister.co.uk, 29.05.2014: Spy platform zero day exposes cops‘ wiretapped calls
Artikel von krebsonsecurity.com, 28.05.2014: Backdoor in Call Monitoring, Surveillance Gear

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen