Update: Vodafone hat mittlerweile dazu Stellung genommen und kommt zu dem Ergebnis, dass die Vorwürfe nicht stimmen. Im Original heißt es:
Wir haben die vermeintlichen Schwachstellen in der Vodafone EasyBox 804 geprüft. Das Ergebnis: Die in den Hinweisen der Firma ProSec und in den Artikeln kolportieren Schwachstellen sind nicht zutreffend.
Zu den Vorwürfen im Einzelnen:
Die EasyBox 804 ist wirksam gegen infizierte Firmware geschützt, da sie nur Updates signierter Original-Firmware erlaubt. Die Signaturprüfung stellt die Echtheit einer Firmware fest. Handelt es sich nicht eindeutig um die offizielle Firmware wird sie nicht installiert.
Auch ein Zurücksetzen des Passworts und die damit verbundene Wiederherstellung des Werkszustandes funktionieren bestimmungsgemäß und stellen somit kein Sicherheitsrisiko dar. Der WPA-Schlüssel für die EasyBox 804 ist komplex, wird für jedes Gerät individuell zufällig generiert und lässt sich daher nicht berechnen.
All das bestätigen sowohl die nun aktuell erneut erfolgten Tests von Vodafone und des Herstellers Cisco, als auch die Prüfberichte, die Vodafone vor der Einführung der Box in Auftrag gegeben hatte.
Originale Meldung:
Vodafone Kunden, die auf die originale DSL-Hardware des Unternehmens setzen und dabei die Easybox 804 nutzen, sollten für die nächste Zeit auf eine andere Hardware wechseln oder zumindest die Box und deren Funktionen gut im Auge behalten. Aktuell hat die Box eine Schwachstelle, die es Angreifern ermöglicht, manipulierte Firmware-Images einzuspielen. Damit ist unter Umständen das das Mitlesen des Datenverkehrs über den Router möglich.
Heise schreibt zu den Sicherheitsproblemen:
Der WLAN-Router lässt sich über sein Web-Interface ohne Authentifizierung auf Werkseinstellungen zurücksetzen. Hierzu muss ein Angreifer lediglich die Passwort-Vergessen-Funktion aktivieren und ein Captcha lösen, wie der Entdecker der Schwachstelle, Tim Schughart von der Security-Firma ProSec Networks, gegenüber heise Security erklärte. Anschließend hat der Angreifer Zugriff auf die Firmware-Update-Funktion, die normalerweise erst nach Eingabe des Admin-Passworts zugänglich ist.
Besonders problematisch: die Entdecker der Lücke hatten bereits viermal versucht, Vodafone über diese gravierende Lücke zu informieren. Allerdings wurde dabei der Support kontaktiert und dieser ist bei Vodafone nicht in jedem Fall hilfreich. Daher ist es auch nicht verwunderlich, dass an der Stelle wenig passiert ist.
Die Lücke ist vor allem ärgerlich, weil Vodafone in der Vergangenheit fast ausschließlich auf die eigene Hardware gesetzt hatte und es sehr schwer machte, eigene Router einzusetzen. Wenn man diese Strategie fährt, sollte man wenigstens dafür sorgen, dass die eigene Hardware sicher ist und bei Sicherheitsproblemen schnell reagieren.
Die Easybox wurde im Übrigen nur bei den Vodafone DSL- und VDSL Anschlüssen genutzt und nicht bei Kabel Deutschland. KD Kunden sollten daher von dieser Lücke nicht betroffen sein.
via heise
Zuletzt aktualisiert: 22. Mai 2024
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.