DC
Tests & Artikel
News
Sicherheitslücke: Canon CP2023-003

2. August 2023

Sicherheitslücke Canon CP2023-003: "Zurücksetzen"-Funktion lässt Wlan-Schlüssel im Speicher

Canon meldet eine fehlerhafte Umsetzung beim Zurücksetzen von Tintendruckern in den Werkszustand. Unter Umständen wird dabei der Wlan-Schlüssel nicht aus dem Speicher gelöscht und könnte von Dritten ausgelesen werden. Betroffen sind nahezu alle Pixma- und Maxify-Drucker seit dem Modelljahr 2014. Abhilfe gibt es zunächst nur in Form eine Behelfslösung - ein Firmwareupdate steht nicht in Aussicht oder gar zur Verfügung.

Sicherheitslücke Canon PSIRT CP2023-00

Damit sich ein Endgerät, wie beispielsweise ein Drucker, über Wlan in ein drahtloses Netzwerk einklinken kann, muss sich dieses den sogenannten Netzwerkschlüssel (WEP- oder WPA-Passphrase) dauerhaft merken und entsprechend im Speicher ablegen.

Nicht selten wird dies (zusammen mit dem Netzwerknamen und der Verschlüsselungsmethode) komplett unverschlüsselt im Klartext getan. Jeder, der geeignete Mittel hat (z.B. über eine Service-Software) kann diese Daten auslesen und sich somit Zugriff zum Netzwerk beschaffen. Das ist alles zunächst nicht ungewöhnlich. So lassen sich diese Zugangsdaten beispielsweise unter Windows als Administrator mit nur wenigen Klicks in Erfahrung bringen.

Aus diesem Grund ist es wichtig, dass man alle Geräte (mit entsprechend hinterlegten Daten) bei der Herausgabe an Dritte (z.B. bei einem Weiterverkauf oder bei einer Reparatur) in einen Zustand versetzt, in dem Unbefugte nicht mehr an diese gelangen können. Das gilt gleichermaßen entsprechend auch für andere persönliche Daten, wie z.B. die Faxnummer, Faxseiten, Adresslisten oder gar E-Mail- oder Netzwerk-Zugangsdaten.

Im Falle dieser Drahtlosnetzwerk-Zugangsdaten müsste man sich für eine Verwendung dann allerdings auch in einer örtlichen Reichweite zum Wlan befinden.

Für solche Zwecke bieten fast alle Drucker eine Funktion zum Zurücksetzen von allen, oder ausgewählten Daten. Bei den meisten Canon-Druckern findet man diese unter "Einstellungen" => "Geräteeinstellungen" => "Einstellung zurücksetzen". Am Beispiel eines Maxify GX4050 stehen dann folgende Punkte zur Auswahl:

Möglichkeiten zum Zurücksetzen

"Nur Webservice-Einrichtung"
"Nur Lan-Einstellung" (fehlerhaft)
"Nur Telefonnr."
"Nur Einstellungen
"Nur Einträge aus E-Mail-Adressbuch"
"Nur Fax-Einstellungen"
"Alle zurücksetzen" (fehlerhaft)

Fehlerhafte Implementierung

Canon PSIRT: "Product Security Incident Response Team"

Nun meldet jedoch das Canon-Sicherheitsteam "PSIRT" ("Product Security Incident Response Team", "Team zur Reaktion auf Produktsicherheitsvorfälle"), dass "sensitive" Informationen zum Wlan-Netzwerk nach der Rücksetzung womöglich im Speicher verbleiben.

Selbst merkt man davon nichts. Nach einem Reset wird über den Druckerbildschirm keine Verbindung und erst recht keine Zugangsdaten mehr angezeigt. Generell wird der Wlan-Schlüssel nach einer erfolgten Eingabe nicht mehr im Klartext angezeigt. Das gilt ebenso auch für die Darstellung im integrierten Webserver (EWS) des Druckers.

Von diesem Fehler sind nahezu alle Tintendrucker der Serien Pixma, Maxify sowie ein A2-Großformatdrucker betroffen, die seit 2014 eingeführt wurden. Lediglich beim brandneuen Maxify GX6550 scheint der Fehler ab Werk behoben zu sein.

Betroffene Modelle (Auswahl)

Behelfslösung

Um den Fehler zu umgehen, gibt es seitens Canon derzeit nur eine Behelfslösung. Dazu führt man zunächst den Rücksetzvorgang aller Einstellungen "normal" durch, aktiviert dann die Wlan-Funktion am Drucker und startet einen zweiten Durchlauf. Wir haben die Prozedur in einem Video dargestellt.

Interessanterweise stellt Canon weder eine aktualisierte Firmware zur Verfügung, noch einen Zeitplan dafür in Aussicht. Die Sicherheitsmeldung von Canon selbst dürfte wohl nur die wenigsten Kunden auf das Problem aufmerksam machen.

Vorgehensweise zum Löschen aller persönlicher Daten

Einstellungen > "Alle zurücksetzen"
Wlan über das Menü aktivieren
Einstellungen > "Alle zurücksetzen" (erneut)

Wenn über das Menü keine Option zum Zurücksetzen "aller" Einstellungen vorhanden ist, dann reicht es aus, lediglich die "LAN-Einstellungen" mit der gleichen Methode zweimal zurückzusetzen.

Schritt für Schritt: Sicheres Löschen aller Daten beim Canon Maxify GX4050.

Dieser Artikel wurde ohne generativer KI erstellt.

06.08.23 12:22 (letzte Änderung)Fußnoten

Dieser Artikel ist "Schlecht"

Bewerten Sie bitte nur die Qualität des Artikels.
Nicht die darin vorgestellten Produkte.

Dieser Artikel ist "Unterdurchschnittlich"

Bewerten Sie bitte nur die Qualität des Artikels.
Nicht die darin vorgestellten Produkte.

Dieser Artikel ist "durchschnittlich"

Bewerten Sie bitte nur die Qualität des Artikels.
Nicht die darin vorgestellten Produkte.

Dieser Artikel ist "Gut"

Bewerten Sie bitte nur die Qualität des Artikels.
Nicht die darin vorgestellten Produkte.

Dieser Artikel ist "Sehr gut"

Bewerten Sie bitte nur die Qualität des Artikels.
Nicht die darin vorgestellten Produkte.

5 Wertungen

Offenlegung - Provisionslinks

Wir erhalten bei einer Vermittlung zum Kauf oder direkt beim Klick eine Provision vom Anbieter.

Alle Preise enthalten die derzeit gültige MwSt. und verstehen sich zzgl. Versandkosten. Der Preis sowie die Verfügbarkeit können sich mittlerweile geändert haben. Weiß hinterlegte Preise gelten für ein baugleiches Gerät. Alle Angaben ohne Gewähr.

Forum Aktuell51015

00:39	AW #9: Senior, Wenigdrucker, sucht MFD mit Display, Patronen, ohne AboLexBro
23:34	AW #9: Ich bitte um Empfehlungen: welches Papier (InkJet) für Flyer in Klein-Auflagen?Koberon
20:52	AW #1: Duplexdruck C5890DWF BAMNeppomuk
18:51	AW #4: Kyocera 1370 DN Flecken am RandOmegator
15:21	Duplexdruck C5890DWF BAMGast_67253
14.1.	✉ Canon Pixma iP5300 geht nicht mehr an – wiederbeleben? ichflippaus

ArtikelNewsTop

13.01.	Epson Expression Photo XP-980: Multifunktions-Fotodrucker mit A3-Bypass
08.01.	HP für Microsoft 365 Copilot: Umfassende KI-Erweiterung für professionelle HP-Multifunktionsdrucker
06.01.	Canon Imageformula DR-C350 und DR-C340: Solide Dokumentenscanner-Kompaktklasse
05.01.	HP Smart Tank Cashback 2026: 20, 30 oder 50 Euro zurück für den Kauf eines HP Smart Tank
29.12.	Epson und oAuth 2.0: Aktualisierung für aktuelle Workforce- und Ecotank-Bürotintendrucker
29.12.	Xerox Dundalk: Irisches Werk für Tonerkartuschen schließt
15.12.	Brother MFC-J6000DW-Serie 2026: Neue Bürotintendrucker bekommen doppelte Reichweite
11.12.	Brother-Tonerkartuschen: Erfolgreiche Klage gegen Fälschernetzwerk
10.12.	Ricoh IM Cxx01CE-Serie: Aufbereitete A3-Farbkopierer
03.12.	Canon Zhongshan: Canon schließt chinesisches Werk für Laserdrucker
20.11.	Ricoh Scansnap iX2400: Flinker USB-Dokumentenscanner mit eng verzahntem Softwarepaket
11.11.	Brother Connect: Treueprogramm mit Fünfjahresgarantie als Vorstufe zum Tintenabo

Themen des Tages

brother canon color epson kyocera laserjet v3400

Beliebte Drucker

Neu	Brother Cube Pro PT-E720BT Spezialdrucker
	ab 599,99 €1 Epson Ecotank ET-8550 Multifunktionsdrucker, A3 (Tinte)
	ab 485,99 €1 Brother MFC-L8690CDW Multifunktionsdrucker (Laser/LED)
	ab 295,00 €1 Canon Maxify GX4050 Multifunktionsdrucker (Pigmenttinte)
	ab 355,99 €1 Epson Ecotank ET-3950 Multifunktionsdrucker (Tinte)
	ab 574,25 €1 Canon Maxify GX7050 Multifunktionsdrucker (Pigmenttinte)
	ab 535,97 €1 Epson Ecotank ET-4850 Multifunktionsdrucker (Tinte)
	ab 186,99 €1 Epson Ecotank ET-2870 Multifunktionsdrucker (Tinte)
	ab 139,98 €1 Brother DCP-J1460DW Multifunktionsdrucker (Tinte)
	ab 382,99 €1 Epson Ecotank ET-4950 Multifunktionsdrucker (Tinte)