Das Review-Board zur Blackhat-Konferenz begutachtet eine Masse von potenziellen Talks. Angriffe auf IoT-Hardware scheinen sich dabei als Trend für 2020 abzuzeichnen.

Das Programm der Blackhat Europe steht, ein Komitee hat aus den Einsendungen viele Vorträge ausgewählt. Dabei fiel auch auf: Angriffe auf Hardware nehmen zu. Laut Daniel Cuthbert, einem Security-Forscher der Santander-Bank, seien solche Angriffe gewöhnlich eher ein Nischenthema. Wenn das Programm der Konferenz aber einen Hinweis auf Trends beim Hacking zulässt, werde man 2020 zunehmend von solchen Hack im IoT-Umfeld hören.

So will ein Talk des Hackers LimitedResults zeigen, wie sich die Security-Mechanismen des ESP32-SoCs nacheinander aushebeln lassen. Weitere beschäftigen sich mit Sicherheitslücken in den mit ARM-Geräten ausgelieferten OEM-Images, mit Lücken in Bootloadern von Microcontrollern (NXP LPC1343, ST STM32F4 und ST STM8) und mit Schwachstellen in Siemens S7 PLCs (Programmable Logic Controller). Diese nutzen aus, dass die PLCs nach dem Absetzen eines bestimmten Kommandos über UART bestimmte Lese- und Schreiboperationen auf den PLCs ausführen. Die erlauben es, beliebigen Code auf den Controllern zu hinterlegen.

Schon länger behaupten Security-Forscher, dass mit dem Wachstum des IoT-Bereichs vermutlich viel Arbeit auf sie zukommt. Indikatoren sind zum Beispiel Sicherheitslücken in schlampig programmierter Router- und Kamerahardware. Im Linux-Bereich knöpft sich der Sicherheitsexperte Matthew Garrett in seinem Blog regelmäßig IoT-Devices vor, um deren Sicherheit zu testen. Dazu gehören intelligente Glühlampen, Router aber auch die Scooter von Lime und Bird.