Die FEMA warnt davor, dass Notfallwarnsysteme gehackt werden könnten, um gefälschte Nachrichten zu übertragen, wenn die Software nicht aktualisiert wird

(CNN) – Schwachstellen in Software, die Fernseh- und Radiosender im ganzen Land verwenden, um Notfallwarnungen zu übertragen, könnten a Hacker um gefälschte Nachrichten über das Warnsystem zu senden, teilte ein Beamter der Federal Emergency Management Agency CNN mit.

Ein Cybersicherheitsforscher lieferte der FEMA „überzeugende Beweise, die auf bestimmte ungepatchte und ungesicherte EAS hindeuten [Emergency Alert System] Geräte sind in der Tat anfällig“, sagte Mark Lucero, Chefingenieur des Integrated Public Alert & Warning System, des nationalen Systems, das staatliche und lokale Beamte verwenden, um dringende Warnungen vor Naturkatastrophen oder Kindesentführungen zu senden.

Die Agentur forderte diese Woche die Betreiber der Geräte auf, ihre Software zu aktualisieren, um das Problem zu beheben, und sagte, dass die Fehlalarme theoretisch über Fernseh-, Radio- und Kabelnetze ausgegeben werden könnten. Das Advisory sagte nicht, dass Warnungen, die über Textnachrichten gesendet wurden, betroffen waren. Es gebe keine Hinweise darauf, dass böswillige Hacker die Schwachstellen ausgenutzt hätten, sagte Lucero.

Es ist unklar, auf wie vielen Geräten des Notrufsystems die anfällige Software ausgeführt wird. Die FEMA verwies eine Bitte um eine Schätzung dieser Zahl an die FCC, die nicht sofort auf eine Bitte um Stellungnahme reagierte.

Ken Pyle, der Cybersicherheitsforscher, der das Problem entdeckte, sagte CNN, dass er mehrere der EAS-Geräte unabhängig erworben und schlechte Sicherheitskontrollen festgestellt habe. Er teilte ein Beispiel einer gefälschten Warnung, die er erstellt, aber nicht gesendet hatte, die einen „zivilen Notstand“ für bestimmte Bezirke und Gebiete in den USA ausrief.

Fernseh- und Radiosender besitzen und betreiben die Ausrüstung und übermitteln die Notfallwarnungen, aber sie werden von den örtlichen Behörden erstellt.

Digital Alert Systems, Inc., das in New York ansässige Unternehmen, das die Notfallwarnsoftware herstellt, sagte, dass Pyle die Schwachstellen erstmals im Jahr 2019 an das Unternehmen gemeldet habe, als das Unternehmen eine aktualisierte Software herausgab, um das Problem zu beheben.

Pyle teilte CNN jedoch mit, dass nachfolgende Versionen der Digital Alert Systems-Software immer noch anfällig für einige der von ihm entdeckten Sicherheitsprobleme seien.

„Wir nehmen alle Sicherheitsberichte sehr ernst“, sagte Ed Czarnecki, Vizepräsident für globale und Regierungsangelegenheiten von Digital Alert Systems, gegenüber CNN. Er fügte hinzu, dass das Unternehmen zukünftige Softwareversionen auf von Pyle gemeldete Probleme untersuchen werde.

„Die überwiegende Mehrheit unserer Benutzer war sehr gut darin, mit Software-Updates Schritt zu halten“, sagte Czarnecki und fügte hinzu, dass Benutzer das Problem weiter entschärfen können, indem sie sicherstellen, dass das Gerät durch eine Firewall geschützt ist.

Der Zusammenbruch der Kommunikation mit den Strafverfolgungsbehörden in den Tagen vor dem Angriff auf das US-Kapitol am 6. Januar 2021 habe Pyle motiviert, sich weiter mit der Sicherheit dieser Art von Kommunikation zu befassen, sagte er.

„Das ist ein großes kritisches Infrastrukturproblem, das jeder kennen muss“, sagt Pyle, Partner bei der Sicherheitsfirma CYBIR. Er wird seine Forschung nächste Woche in Las Vegas auf der DEF CON, einer der größten Hacking-Konferenzen der Welt, demonstrieren.

Der Missbrauch von Notrufen kann Panik auslösen.

Im Jahr 2018 sollte ein Mitarbeiter einer Hawaii Emergency Management Agency das Warnsystem testen, schickte aber stattdessen echte Textnachrichten an die Handys von Hawaiianern und Touristen über eine angebliche ballistische Rakete, die ihnen sagte, sie sollten „SOFORT UNTERKUNFTE SUCHEN“.

The-CNN-Wire
™ & © 2022 Cable News Network, Inc., ein WarnerMedia-Unternehmen. Alle Rechte vorbehalten.

Newsletter

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.