Sicherheitslücke bei WLAN-Chips: Milliarden Geräte betroffen

Forscher haben eine Sicherheitslücke in verbreiteten ESP32-Mikrocontrollern entdeckt (Quelle: Pixabay).

Spanische Sicherheitsforscher von Tarlogic Security haben eine Schwachstelle eines verbreiteten Bluetooth-Chips aufgedeckt. Der betroffene Mikrocontroller wird in Milliarden Geräten eingesetzt.

Andreas Jakobi, Veröffentlicht am 10.03.2025

Update vom 25. März 2025:

Mittlerweile hat Hersteller Espressif auf die Meldung reagiert und Entwarnung gegeben. Laut einer Pressemitteilung handelt es sich um Debug-Befehle, die nur zu internen Kommunikation zwischen den Bluetooth-Schichten genutzt werden. Die Befehle stehen remote nicht zur Verfügung.

WLAN und Bluetooth sind aus der heutigen Zeit nicht mehr wegzudenken. Damit eine Kommunikation zustande kommt, sind allerdings passende Chips notwendig, die unter anderem vom chinesischen Halbleiterhersteller Espressif Systems produziert werden. Deren Mikrocontroller sind besonders günstig und kommen in einer Vielzahl von Geräten zum Einsatz – und genau dieser Umstand wird jetzt zu einem Problem.

Kriminelle können durch die Schwachstelle an sensible Daten gelangen

Bei den betroffenen ESP32-Chips konnten sich die Sicherheitsforscher von Tarlogic als vertrauenswürdiges Gerät ausgeben, wodurch sie an sensible Daten, wie beispielsweise Passwörter, Bankdaten oder persönliche Daten, gelangen. Deutlich schwerwiegender ist, dass potenzielle Angreifer Mitschnitte anfertigen können, da sie unbemerkt Mikrofone und Kameras aktivieren können.

Ein Hauptproblem stellt die große Verbreitung des Mikrocontrollers dar. So wird dieser beispielsweise nicht nur in Smartphones, Tablets oder günstigen Arduino-Platinen eingesetzt, sondern auch im Bereich der automatischen Steuerung. So sind sogar medizinische Geräte oder vernetzte Türschlösser (das SwitchBot Smart Lock gibt es auf Amazon, als Alternative zu kaufen) angreifbar.

Schutzmaßnahmen sind das A und O

Die sicherste Möglichkeit bestünde darin, betroffene Geräte vom Netz zu nehmen. Dies ist allerdings weder rentabel noch durchführbar.

Nutzung starker Passwörter und Verschlüsselungsmethoden
Regelmäßige Updates
Ungenutzte Funktionen deaktivieren
Zugriff beschränken
Mitarbeiter schulen

Der Verizon DBIR (Data Breach Investigations Report) 2024 zeigt, dass die Ausnutzung von Schwachstellen im Vergleich zu 2023 um 180 Prozent gestiegen ist. Dabei stellen schwache Zugangsdaten mit 38 Prozent eine große Gefahr dar. Weiterhin gelangen Angreifer mittels Phishing (15 Prozent) an sensible Daten. Im geschäftlichen Umfeld ist es daher unerlässlich, die Mitarbeiter zu schulen und ausnahmslos starke Passwörter zu implementieren.

Weiterhin sollte mit dem Einspielen von Softwareupdates nicht zu lange gewartet werden, denn wie die Studie zeigt, benötigen Unternehmen zwischen der Bereitstellung und Installation von Patches im Schnitt 55 Tage – ein langes Zeitfenster, in dem Kriminelle bereits an Daten gelangen können.

Quelle(n)

Verizon (Englisch), Tarlogic (Englisch), Espressif (Englisch), Bildquelle: Pixabay

Verwandte Artikel

Apple, Facebook und Google müssen sich gegenüber der DMA verantworten (Quelle: Pixabay).

Haben Apple, Facebook und Google gegen die DMA verstoßen? 26.03.2025

Barrierefreiheit: Ab Juni 2025 muss Hard- und Software barrierefrei sein 25.03.2025

Der neueste Smart-Home-Hub von SwitchBot erhält einen großen Drehregler. (Bildquelle: SwitchBot, bearbeitet)

SwitchBot Hub 3 steuert Matter-Geräte, Spotify, Apple TV und Co. mit neuem Drehregler 17.03.2025

Der Goat O500 Panorama besitzt sowohl einen LiDAR-Scanner als auch eine Kamera. (Bildquelle: Ecovacs)

Deal: Brandneuen Ecovacs Goat O500 Panorama LiDAR-Mähroboter gibts schon mit 161 Euro Rabatt zum Bestpreis 14.03.2025

Vorsicht manipuliertes Captcha: Windows-Nutzer müssen aufpassen 13.03.2025

iRobot fürchtet um seine Zukunft. (Bildquelle: iRobot, bearbeitet)

Roomba-Hersteller fährt erneut über 100 Millionen US-Dollar Verlust ein: iRobot warnt vor möglichem Konkurs 12.03.2025

Aktuell sind Bankkunden wieder Phishing-Angriffen per E-Mail ausgesetzt (Quelle: Pexels).

Neue Phishing-Angriffe: Viele Bankkunden sind betroffen 12.03.2025

iRobot hat gleich acht neue Roomba Saugroboter vorgestellt. (Bildquelle: iRobot)

iRobot präsentiert acht neue Roomba Saugroboter, Roomba 505 erstmals mit LiDAR und rotierenden Wisch-Pads 11.03.2025

Das Google Pixel 10 Pro XL erhält offenbar kaum Design-Neuerungen. (Bildquelle: @OnLeaks / Android Headlines)

Leak enthüllt Design des Google Pixel 10 Pro XL vor Launch im August mit Android 16 11.03.2025

Das Vivo V50 Lite soll einen 6.500 mAh großen Akku ins relativ dünne Gehäuse packen. (Bildquelle: Vivo)

Leak: Vivo V50 Lite startet bald mit 6.500 mAh Akku und 120 Hz AMOLED-Display für 250 Euro 11.03.2025

Die Motorola Edge 60 Serie soll zu Preisen ab 350 Euro auf den Markt kommen. (Bildquelle: Winfuture)

Leak enthüllt Europreise des Motorola Edge 60, Edge 60 Pro, Edge 60 Fusion sowie Moto G56 und G86 11.03.2025

Das OnePlus 13 könnte das letzte Flaggschiff mit Alert Slider sein. (Bildquelle: OnePlus)

Der OnePlus Alert Slider ist Geschichte, OnePlus 14 erhält Action Button à la Apple iPhone 16 10.03.2025

Der Akku des Google Pixel 4a soll zum Überhitzen neigen, weshalb Google die Akku-Leistung eingeschränkt hat. (Bildquelle: Google)

Akku-Kapazität des Google Pixel 4a wurde halbiert, um Akku-Brände zu verhindern 10.03.2025

Durch einen Exploit lässt sich jedes Bluetooth-Gerät in einen AirTag verwandeln. (Bildquelle: ognev)

Jedes Bluetooth-Gerät lässt sich in Apple AirTag verwandeln: Sicherheitslücke macht Stalking einfacher 28.02.2025

Die Netatmo Indoor Camera Advance ist eine neue Smart-Home-Sicherheitskamera ohne Abo-Zwang. (Bildquelle: Netatmo)

Neue Smart-Home-Sicherheitskamera Netatmo Indoor Camera Advance bietet lokale Speicherung und KI ohne Abo 12.02.2025

Subaru: Sicherheitslücke beim Allrad-Spezialisten (Bildquelle Imagen3)

Nach VW nun auch Subaru: Sicherheitslücke beim Allrad-Spezialisten legt Bewegungsdaten offen 23.01.2025

Google-Suche nur noch mit JavaScript (Bildquelle Screenshot Google Suche)

Google-Suche nur noch mit JavaScript - Sicherheit, Datenschutz und Barrierefreiheit werden nachrangig 18.01.2025

Sicherheitslücke in Outlook (Bildquelle Imagen3)

Sicherheitslücke in Outlook lässt Hacker Schadsoftware per Mail verteilen - Microsoft liefert Patch 15.01.2025

Alle 3 Beträge lesen / Antworten

Loading Comments

Diesen Artikel kommentieren / Antworten

240 Hz 4K-Gaming-Monitor mit IPS-Bl...

Casios erste mechanische Uhr könnte...

Andreas Jakobi - Tech Writer - 87 Artikel auf Notebookcheck veröffentlicht seit 2024

Seit meinen jungen Jahren befasse ich mich mit Unterhaltungselektronik, wobei ich vor allem in den Bereichen Streaming und mobile Endgeräte bewandert bin. Wichtig ist mir vorurteilsfrei zu berichten und den Lesern Lösungen aufzuzeigen. Schreibe ich mal nicht für Notebookcheck, teste ich exotische Hard- und Software oder bin in der Welt unterwegs.

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!