2,8 Millionen Kunden betroffen: Sicherheitsleck bei Zwangsroutern

Logo, Kabel Deutschland, Kabelanbieter, Unterföhring Bildquelle: Kabel Deutschland
Laut Medienbericht waren rund 2,8 Millionen Kunden von Kabel Deutschland (jetzt Teil von Vodafone) vermutlich schon über Jahre von einem Sicherheitsleck betroffen, das in einem Zwangsrouter klaffte. Vodafone hat den Bericht bestätigt und zugesagt, dass der Fehler behoben wurde.

Jahre lang offen für Angriffe

Wie heise in seinem Bericht zu der Sicherheitslücke schreibt, wurde diese von dem Linux-Entwickler Alexander Graf entdeckt, der sich im Anschluss an die Fachleute von c't wandte, die wiederum den Provider über das Problem informierten. Durch die Schwachstelle war es nach diesen Informationen theoretisch möglich, fremde VoIP-Anschlüsse und Modems zu übernehmen - also die fast vollständige Kontrolle über die Kommunikation des Nutzers zu übernehmen.

Wie so oft will Graf die Lücke dabei eigentlich nur per Zufall entdeckt haben. Bei einer Untersuchung hatte sich der Entwickler Zugriff auf den von Kabel Deutschland zwangsmäßig bereitgestellten Router verschafft. Auf diesem Weg sollten die VoIP-Zugangsdaten ausgelesen werden, die der Provider eigentlich unter Verschluss hält, um den Anschluss von fremder Hardware zu verhindern.

Bei einer genauen Untersuchung des Systems stolperte Graf über eine Netzwerk-Verbindung, die normalerweise nicht sichtbar sein sollte. Wie sich bei der weiteren Untersuchung zeigte, hatte der Entwickler Zugriff auf das interne Wartungsnetz von Kabel Deutschland erlangt. Das große Problem: Normalerweise sollten nur Service-Mitarbeiter Zugriff auf diesen Kanal haben, dieser stand aber theoretisch allen Nutzern offen.

Passwörter im Klartext

Eigentlich sollte der Zugriff auf das Netzwerk noch durch eine Passwort-Abfrage beschränkt sein. Graf war es nach dem Bericht allerdings sehr leicht möglich, die nötigen Kennwörter zu ermitteln, da diese als leicht zu knackender Hash im Browser oder sogar teilweise im Klartext vorlagen. Besonders fatal: die Zwangsrouter aller Kunden waren mit dem gleichen Passwort gesichert. Dem Entwickler war es durch diese Lücke möglich, Datenverkehr aufzuzeichnen und zu manipulieren.

Wegen einer entsprechenden Lücke im VoIP-System des Providers wäre es laut Graf sogar möglich gewesen, Telefonanschlüsse zu übernehmen und auf Kosten der Nutzer zu telefonieren. Nach einem Hinweis durch die c't-Redaktion im November soll die Lücke durch Kabel Deutschland schnell geschlossen worden sein. Einen Monat später teilte das Unternehmen mit, dass die rund 2,8 Millionen betroffenen Nutzer wieder vollkommen geschützt sein sollen. Logo, Kabel Deutschland, Kabelanbieter, Unterföhring Logo, Kabel Deutschland, Kabelanbieter, Unterföhring Kabel Deutschland
Mehr zum Thema: Kabel Deutschland
Diese Nachricht empfehlen
Kommentieren33
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 02:05 Uhr Plater I68 Android Lollipop 5.1 TV Box Kodi Con Rockchip 3368 Octa Core Cortex-A53 e 64 bit CPU H.265 Vera UHD 4Kx2K @60fps 2G DDR3 16G eMMC Bluetooth 4.0 Dual Band (2.4/5GHz) WiFi 1000/LAN & OT
Plater I68 Android Lollipop 5.1 TV Box Kodi Con Rockchip 3368 Octa Core Cortex-A53 e 64 bit CPU H.265 Vera UHD 4Kx2K @60fps 2G DDR3 16G eMMC Bluetooth 4.0 Dual Band (2.4/5GHz) WiFi 1000/LAN & OT
Original Amazon-Preis
89,90
Im Preisvergleich ab
?
Blitzangebot-Preis
72,17
Ersparnis zu Amazon 0% oder 17,73
Nur bei Amazon erhältlich

Kabel Deutschlands Aktienkurs in Euro

Kabel Deutschland Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden