2,8 Millionen Kunden betroffen:
Sicherheitsleck bei Zwangsroutern

Laut Medienbericht waren rund 2,8 Millionen Kunden von Kabel Deutschland (jetzt Teil von Vodafone) vermutlich schon über Jahre von einem Sicherheitsleck betroffen, das in einem Zwangsrouter klaffte. Vodafone hat den Bericht bestätigt und zugesagt, dass der Fehler behoben wurde.
Logo, Kabel Deutschland, Kabelanbieter, Unterföhring
Kabel Deutschland

Jahre lang offen für Angriffe

Wie heise in seinem Bericht zu der Sicherheitslücke schreibt, wurde diese von dem Linux-Entwickler Alexander Graf entdeckt, der sich im Anschluss an die Fachleute von c't wandte, die wiederum den Provider über das Problem informierten. Durch die Schwachstelle war es nach diesen Informationen theoretisch möglich, fremde VoIP-Anschlüsse und Modems zu übernehmen - also die fast vollständige Kontrolle über die Kommunikation des Nutzers zu übernehmen.

Wie so oft will Graf die Lücke dabei eigentlich nur per Zufall entdeckt haben. Bei einer Untersuchung hatte sich der Entwickler Zugriff auf den von Kabel Deutschland zwangsmäßig bereitgestellten Router verschafft. Auf diesem Weg sollten die VoIP-Zugangsdaten ausgelesen werden, die der Provider eigentlich unter Verschluss hält, um den Anschluss von fremder Hardware zu verhindern.

Bei einer genauen Untersuchung des Systems stolperte Graf über eine Netzwerk-Verbindung, die normalerweise nicht sichtbar sein sollte. Wie sich bei der weiteren Untersuchung zeigte, hatte der Entwickler Zugriff auf das interne Wartungsnetz von Kabel Deutschland erlangt. Das große Problem: Normalerweise sollten nur Service-Mitarbeiter Zugriff auf diesen Kanal haben, dieser stand aber theoretisch allen Nutzern offen.

Passwörter im Klartext

Eigentlich sollte der Zugriff auf das Netzwerk noch durch eine Passwort-Abfrage beschränkt sein. Graf war es nach dem Bericht allerdings sehr leicht möglich, die nötigen Kennwörter zu ermitteln, da diese als leicht zu knackender Hash im Browser oder sogar teilweise im Klartext vorlagen. Besonders fatal: die Zwangsrouter aller Kunden waren mit dem gleichen Passwort gesichert. Dem Entwickler war es durch diese Lücke möglich, Datenverkehr aufzuzeichnen und zu manipulieren.

Wegen einer entsprechenden Lücke im VoIP-System des Providers wäre es laut Graf sogar möglich gewesen, Telefonanschlüsse zu übernehmen und auf Kosten der Nutzer zu telefonieren. Nach einem Hinweis durch die c't-Redaktion im November soll die Lücke durch Kabel Deutschland schnell geschlossen worden sein. Einen Monat später teilte das Unternehmen mit, dass die rund 2,8 Millionen betroffenen Nutzer wieder vollkommen geschützt sein sollen.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:20 Uhr ?Verbessert? Urvolax Wireless Apple Carplay Android Auto, 7-Zoll HD IPS Tragbares Touchscreen Carplay Display, Car Play Monitor Unterstützt Bluetooth 5.0/AUX/FM/GPS Navi/Airplay/Mirror Link 12-24V?Verbessert? Urvolax Wireless Apple Carplay Android Auto, 7-Zoll HD IPS Tragbares Touchscreen Carplay Display, Car Play Monitor Unterstützt Bluetooth 5.0/AUX/FM/GPS Navi/Airplay/Mirror Link 12-24V
Original Amazon-Preis
189,99
Im Preisvergleich ab
189,99
Blitzangebot-Preis
119,99
Ersparnis zu Amazon 37% oder 70
Im WinFuture Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!