X

2,8 Millionen Kunden betroffen: Sicherheitsleck bei Zwangsroutern

Laut Medienbericht waren rund 2,8 Millionen Kunden von Kabel Deutschland (jetzt Teil von Vodafone) vermutlich schon über Jahre von einem Sicherheitsleck betroffen, das in einem Zwangsrouter klaffte. Vodafone hat den Bericht bestätigt und zugesagt, dass der Fehler behoben wurde.
Kabel Deutschland
26.12.2015  13:44 Uhr

Jahre lang offen für Angriffe

Wie heise in seinem Bericht zu der Sicherheitslücke schreibt, wurde diese von dem Linux-Entwickler Alexander Graf entdeckt, der sich im Anschluss an die Fachleute von c't wandte, die wiederum den Provider über das Problem informierten. Durch die Schwachstelle war es nach diesen Informationen theoretisch möglich, fremde VoIP-Anschlüsse und Modems zu übernehmen - also die fast vollständige Kontrolle über die Kommunikation des Nutzers zu übernehmen. Wie so oft will Graf die Lücke dabei eigentlich nur per Zufall entdeckt haben. Bei einer Untersuchung hatte sich der Entwickler Zugriff auf den von Kabel Deutschland zwangsmäßig bereitgestellten Router verschafft. Auf diesem Weg sollten die VoIP-Zugangsdaten ausgelesen werden, die der Provider eigentlich unter Verschluss hält, um den Anschluss von fremder Hardware zu verhindern.

Bei einer genauen Untersuchung des Systems stolperte Graf über eine Netzwerk-Verbindung, die normalerweise nicht sichtbar sein sollte. Wie sich bei der weiteren Untersuchung zeigte, hatte der Entwickler Zugriff auf das interne Wartungsnetz von Kabel Deutschland erlangt. Das große Problem: Normalerweise sollten nur Service-Mitarbeiter Zugriff auf diesen Kanal haben, dieser stand aber theoretisch allen Nutzern offen.

Passwörter im Klartext

Eigentlich sollte der Zugriff auf das Netzwerk noch durch eine Passwort-Abfrage beschränkt sein. Graf war es nach dem Bericht allerdings sehr leicht möglich, die nötigen Kennwörter zu ermitteln, da diese als leicht zu knackender Hash im Browser oder sogar teilweise im Klartext vorlagen. Besonders fatal: die Zwangsrouter aller Kunden waren mit dem gleichen Passwort gesichert. Dem Entwickler war es durch diese Lücke möglich, Datenverkehr aufzuzeichnen und zu manipulieren.

Wegen einer entsprechenden Lücke im VoIP-System des Providers wäre es laut Graf sogar möglich gewesen, Telefonanschlüsse zu übernehmen und auf Kosten der Nutzer zu telefonieren. Nach einem Hinweis durch die c't-Redaktion im November soll die Lücke durch Kabel Deutschland schnell geschlossen worden sein. Einen Monat später teilte das Unternehmen mit, dass die rund 2,8 Millionen betroffenen Nutzer wieder vollkommen geschützt sein sollen.
Verwandte Themen
Kabel Deutschland
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture