D-Link: Auch Mobile-Hotspots kommen mit eklatanten Lücken

D-Link, DWR-932, Mobile-Hotspot Bildquelle: D-Link
Verschiedene Sicherheitsforscher haben in den letzten Jahren immer wieder eklatante Sicherheitsmängel bei diversen Home-Routern aufgedeckt. Nicht viel besser sieht es bei portablen WLAN-Hotspots namhafter Hersteller aus. Das zeigt eine aktuelle Analyse des D-Link DWR-932.

D-Link DWR-932D-Link DWR-932
Das Gerät ist seit gut zwei Jahren im Handel und erfreut sich einiger Beliebtheit. Der Sicherheitsforscher Pierre Kim hat das Produkt nun einmal näher untersucht. Dass es gerade dieses Modell traf, liegt daran, dass er zuvor bereits einige LTE-Hotspoots von Quanta unter die Lupe nahm, woraufhin ihn einige Nutzer auf deren Ähnlichkeit zu dem D-Link-Gerät hinwiesen. Das ist in Zeiten, in denen auch die Markenhersteller in vielen Bereichen auf Standard-Hardware einiger großer Auftragsfertiger setzen, nicht ungewöhnlich.

Es wäre auch kein Problem, wenn sie ihre Markenqualität zumindest unter Beweis stellen würden, indem sie eine eigene Firmware zum Einsatz bringen. Allerdings wird dann doch recht oft die ohnehin vorhandene Software verwendet und nur mit leichten Anpassungen und einer eigenen Benutzeroberfläche versehen. Das dürfte ein wesentlicher Grund sein, warum sich auch hier die Sicherheitsprobleme fortsetzen, die Kim schon in den Quanta-Systemen fand. Konkret geht es um folgende Probleme:

  • Es gibt zwei Backdoor-Accounts mit leicht zu erratenden Passwörtern. Über diese kann man sich unter Umgehung aller vom Nutzer geänderten Zugangsdaten in das Router-Management einloggen.
  • Wird das WLAN über das ohnehin nicht sonderlich sichere WPS geschützt, kann dieses wegen einer fest einprogrammierten PIN nicht wieder abgedichtet werden, wenn der Zugang erst einmal geknackt ist.
  • Es gibt mehrere Schwachstellen im HTTP-Demon.
  • Zugangsdaten zur entfernten Firmware-Administration sind fest einprogrammiert.
  • Verschiedene Sicherheits-Features in Universal Plug and Play sind deaktiviert.

Kein Update in Sicht

"Im besten Fall wurden die Sicherheitslücken durch Inkompetenz beim Anbieter hervorgerufen. Im schlimmsten handelt es sich hingegen um einen bewussten Akt der Sabotage durch den Hersteller", so das Fazit des Sicherheitsforschers. Vergrößert werden die potenziellen Probleme noch dadurch, dass die Geräte mit immerhin noch 235 Megabyte freiem Speicherplatz, einer ordentlichen CPU und diversen Netzwerk-Tools bestückt sind. Dadurch lassen sie sich von einem Angreifer ziemlich bequem zum Ausgangspunkt für weitere Angriffe, zum automatisierten Spionage-System oder zum Botnetz-Zombie umfunktionieren.

Der Sicherheitsforscher hat die von ihm entdeckten Probleme bereits im Juni an den Hersteller gemeldet. Kürzlich habe er aber die Rückmeldung bekommen, dass noch nicht gesagt werden könne, wann ein Firmware-Update erscheinen könnte, das die Schwachstellen behebt. Daher entschloss sich Kim nun, mit der Sache an die Öffentlichkeit zu gehen, um den Druck auf D-Link zu steigern. D-Link, DWR-932, Mobile-Hotspot D-Link, DWR-932, Mobile-Hotspot D-Link
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 08:30 Uhr Tonor Bambus Sweat-resistent kabellose Maus gesunde Anti-Strahlung Wireless Maus
Tonor Bambus Sweat-resistent kabellose Maus gesunde Anti-Strahlung Wireless Maus
Original Amazon-Preis
19,98
Im Preisvergleich ab
?
Blitzangebot-Preis
15,99
Ersparnis zu Amazon 20% oder 3,99
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden