Das offizielle Flash-Tool für M5Stack-Geräte weist gravierende Sicherheitsmängel auf. Ein Leser hat die Probleme analysiert und sicheren Ersatz entwickelt.
M5Stack-Geräte wie der Cardputer ADV werden über M5Burner verwaltet: Das offizielle Desktop-Tool erlaubt es, Firmware zu durchsuchen, herunterzuladen und direkt auf die Hardware zu flashen. Doch wer M5Burner im Netz betreibt, geht ein erhebliches Risiko ein – das hat unser Leser und Sicherheitsforscher „malloc“ in einer detaillierten Analyse aufgedeckt.
Der User malloc hat den Electron-basierten Closed-Source-Client (frühere Versionen waren noch Open Source) dekompiliert und dabei eine ganze Reihe von Problemen gefunden:
Wer M5Burner aktuell nutzt, sollte das Tool zumindest nicht in öffentlichen oder nicht vertrauenswürdigen WLANs starten. Für Login, Firmware-Verwaltung und Flashen steht m5uploader als quelloffene Alternative (s.u.) bereit.
Die meisten betroffenen M5Stack-Server unterstützen laut Tests von malloc HTTPS bereits problemlos. Die App nutzt es schlicht nicht konsequent. So wurde jeder genutzte Host geprüft. Mit einer Ausnahme (einem Media-Token-Endpunkt auf Port 5003 ohne TLS-Support) wäre ein simples Umstellen der URLs auf https:// bereits ein großer Schritt für die Sicherheit gewesen. Electron bietet zudem sichere Standardeinstellungen (nodeIntegration: false, contextIsolation: true), die M5Burner aktiv deaktiviert.
Bevor malloc seine Analyse veröffentlichte, versuchte er zunächst, M5Stack privat zu kontaktieren. Er suchte nach einer security.txt, einem SECURITY.md im GitHub-Repository des Unternehmens sowie nach einem dedizierten Sicherheitskontakt auf der Website und fand nichts. Da kein privater Meldeweg existierte, entschied er sich, die Schwachstellen direkt öffentlich zu machen. Der Blogpost ist damit gleichzeitig die Erstmeldung an den Hersteller. malloc schreibt dazu selbst, er hätte eine private Meldung bevorzugt, ihm fehlte schlicht die Adresse dafür. Die beschriebene RCE-Lücke ist damit zum Zeitpunkt der Veröffentlichung gegen die aktuelle, ausgelieferte Version von M5Burner aktiv ausnutzbar.
Weil malloc M5Burner nach der Analyse nicht mehr gegen sein eigenes Konto laufen lassen wollte, hat er kurzerhand einen eigenen Client entwickelt und auf GitHub veröffentlicht: m5uploader (github.com/cryptspeak/m5uploader).
Das Python-Tool setzt konsequent auf HTTPS mit Zertifikatsprüfung, verzichtet auf einen eingebetteten Browser und speichert den Session-Token im OS-Keychain. Ein Auto-Updater fehlt bewusst – stattdessen gibt es nur einen Hinweis auf neue Versionen. Firmware-Flashing via esptool ist inzwischen ebenfalls integriert.
(caw)
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Kritische Sicherheitslücken bei Yarbo-Mährobotern entdeckt | -3 | 7 | 10-06-2026 |
| 2 | Ungeschützte Wechselrichter: Hoymiles verspricht Update | 0 | 5 | 15-07-2026 |
| 3 | So gefährlich sind Deepfakes | -2 | 6 | 10-06-2026 |
| 4 | Phishing-Test zeigt: KI verrät Passwörter und Kundendaten | -3 | 7 | 11-06-2026 |
| 5 | WLAN optimieren: Kostenlose Tools machen das Netz schneller und sicherer | 5 | 7 | 12-07-2026 |
| 6 | Schon wieder: Forscher leakt Zero-Day für Windows | 0 | 5 | 10-06-2026 |
| 7 | Атакована недоисправленная уязвимость в Windows | -2 | 6 | 09-07-2026 |
| 8 | Passwort-Manager LastPass warnt erneut vor Datenleck | -2 | 6 | 25-06-2026 |
| 9 | Москвичей предупредили об опасности | 0 | 1 | 02-07-2026 |