Home-Router lassen sich oft per E-Mail hacken

Eine Kombination aus zu durchlässigen E-Mail-Clients und unsicheren Passwörtern ermöglicht es Angreifern im Zweifelsfall, die DNS-Konfiguration vieler Router für Heimnetzwerke mit einer einfachen E-Mail zu manipulieren. mehr... Netzwerk, Router, Western Digital Bildquelle: Western Digital Netzwerk, Router, Western Digital Netzwerk, Router, Western Digital Western Digital

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"In seinem Versuch setzte Calin auf die Standard-Mail-Clients von iOS und Mac OS X..." Das kann nicht sein! Nein, nicht Mac OS X, NEIN! Das hat solche Probleme nicht! Es ist das absolut sicherste System! /// Es wäre eine Liste interessant gewesen welche Programme betroffen sind. Klingt für mich aber eher wie eine Kleinigkeit die hier aufgebauscht wird - kein Grund ein Fass aufzumachen.
 
@hhgs: Wohl jeder Mail-Client, der HTML-Mails darstellst. Also u.U. auch Webmail-Clients. So wie ich das verstehe, ist das stinknormales Cross-Site Request Forgery.
 
@MuellerLukas: Nicht jeder. Die guten zeigen Bilder erst auf expliziten Aufruf an.
 
@Kirill: Gmail fragt auch jedes Mal nach. Hatte mich schon gewundert was das soll, aber anscheinend ist es doch gut so
 
@nicknicknick: Allein gegen Tracking Pixel ist das schon eine sinnvolle Sache.
 
@MuellerLukas: zb der mailclient unter wp fragt explizit erst nach, bevor er bilder runterläd
 
@MuellerLukas: So ist es, hat nicht nur mit MacOS zu tun, sondern auch mit HTML-Mails (und unsicheren Standard-Kennwörtern auf Routern natürlich). Wurde bzw. wird auch schon seit morgens bei Heise diskutiert, z.B. http://www.heise.de/security/news/foren/S-Emails-als-Nur-Text-anzeigen-lassen/forum-243765/msg-22790993/read/
 
@hhgs: Klicke doch mal das blau geschriebene " Blog-Posting" an und lese die sich dann öffnende Seite "http://www.acunetix.com/blog/web-security-zone/the-email-that-hacks-you/" und Du bekommst zusätzliche Informationen!
 
Hmmm zum Thema "Standard-Passwort": Also mit den Provider-Routern, die ich so in den letzten Jahren zu tun hatte, hatten alle allesamt individuelle Passwörter, jeweils aufgeklebt auf dem Router (oft sogar 8-stellig). Und dann sollte das Risiko doch relativ gering auch für den Ottonormalkunden sein, wenn ich den Artikel richtig verstehe.
 
@Der_Karlson: Diese "individuellen" Passwörter sind aber leider in aller Regel schlecht generiert. Ausserdem handelt es sich dabei doch meistens um das WLAN Passwort, nicht um den Login auf die RouterKonfiguration, die ist dann etwa einfach "admin" und KEIN Passwort.
Selbst das WLAN Passwort wird autogeneriert völlig wahnsinnig erstellt. Gab ja in den letzten Jahren immer wieder Fälle wo zB bei Thompson Routern das vorgegeben WLAN Passwort aus der SSID berechnet wird. Kennst du den Algorythmus kennst du damit alle Passwörter und kommst in viele Router rein, das habe ich selbst schon ca. 5-6 mal erfolgreich getestet, und zwar ohne viel Aufwand....
 
Interessant wäre ob die Fritzboxen auch dabei sind.
 
@Positiv: Die haben alle ein individuelles Passwort, ebenso Netgear(scheinbar doch nicht) und weitere.
 
@hhgs: Alle Router die von den provider ausgegeben werden, habe seit jahren ein individuelles Password. Anders ist es bei Router wie zum beispiel von Netgear. Diese bauen das lokale Netz wirklich im 192.168.1.0 auf. Das User mit wenig Erfahrung natürlich auch so nutzen. Im gegensatz zu den Speedport Router die komunizieren im 192.168.2.0 Netz. Und die Standard Login bei Netgear Router ist "Admin" und "Password" ... also da sehe ich schon Probl. Ab das dürfte dann wahrscheinlich nur 10-15% der User betreffen.
 
@Kv17: traurige wahrheit ist: das mit den providern und individuellen pw ist leider falsch.. Vodafone (Easybox): root/123456, Unitymedia (D-Link): admin/*nix* (jap, tatsache) usw... ergo: router mit individuellen passwörtern direkt nachm auspacken ist oft immernoch wunschdenken
 
@hhgs: netgear? bis heute nutzer: "admin" passwort: "password" als standardlogin...
 
@Slurp: Okay, ich dachte ich hatte vor dem Speedport ein Netgear, dann war es doch ein anderes Gerät, dieses hatte jedenfalls ein individuelles Passwort.
 
@hhgs: Netgear hat keine Individuellen Passwörter! Habe mir vor 2 Monaten auf Grund einer Internetumstellung einen neuen Netgearrouter zugelegt. Standardpasswort ist "Password" für den Nutzer "Admin" - Die Speedport Router der Telekom haben individualisierte Passwörter !
 
@SimpleAndEasy: Es ging um von Providern ausgegebene Router und nicht um direkt im Laden gekaufte.
 
@Drachen: Welcher Provider verteilt denn Netgearrouter? Die bekommt man eh für nen Apfel und ein Ei hinterher geworfen! Btw. auch wenn man einen Speedport im Laden kauft haben diese eine individuelle Verschlüsselung!
 
@SimpleAndEasy: Die Hardware, die ISPs ihren Kunden aufdrücken, wird mittlerweile in der Regel über TR-069 ferngesteuert. Da noch von Sicherheit zu reden, wäre albern. Die ISP Hardware ist quasi der Trojaner. Die Kontrolle über diese Hardware im Haus haben Fremde.
 
@Positiv: Haben die POST oder GET? Wenn die Parameter nicht per URL übergeben werden, ist die Sache sicher.
 
@Positiv: scheint daran zu hängen, von wem Du die FritzBox bekommst. Ich hatte neulich eine schwarze 7390 von 1&1 in der Hand und die hatte ein 08/15-Standard-PW.
 
@Drachen: Mhh das ist wirklich bitter das es immer noch solche Router gibt. Ich kennst nur von der Telekom. Alle Router die ich dort verbaut habe bei freunden etc, die hatten auf dem Speedport Router eine individuelle WPA2 verschlüsslung und Password für Router login auf der Box stehen. Bei Arcor und 1&1 weis ich es leider nicht. Aber sollte die dem so sein. Ist das Thema doch nicht ganz so harmlos, wie viele denken.
 
Easybox aka "root" "123456"... noch fragen?
 
@Slurp: Ahja stimmt, ne traurige Ausnahme :D
 
@Slurp: Vodafone Router. Da hab ich nur den Kopf geschüttelt.
 
@-=[J]=-: vodafone router *sind* easybox oO
 
@Slurp: daher ja auch "easy" box.... passwort aus tangenz alpha + pi durch oberweite zum quadrat minus der länge der fußnägel, wär nicht mehr "easy" aber immerhin individuell :-D
 
@-=[J]=-: Easybox-Router sind von Vodafone :o)
 
@fazeless: Alter, warum seid ihr so schnell, habs grad gecheckt und wollte es schnell korrigieren bevor jemand merkt das ich net nachgedacht hab ... aah! sorry, bin noch müde vom Konzert gestern :-)
 
@-=[J]=-: macht ja nix ^^
 
@C.Kahle: Kennung <> Kennwort ("... die voreingestellten Passwörter in ihren Geräten durch eine sichere Kennung zu ersetzen ...")
 
Die Leute sind ja auch selber Schuld, mit ein wenig Berschreibung lesen steht da oft in Rotschrift das man das Passwort vom Login und die SSID abändern soll. In einem Router wird ja nicht alle Tage etwas geändert, daher ist es auch nicht schlimm wenn das neue Passwort 25 oder mehr Stellen hat.
 
Hat mich bei meinem Asus Router auch gewundert... Das Standartpasswort und Nutzername sind: Admin - Admin.
Sehr komisch...
 
Das ist das Problem daran, daß es Leute gibt, denen Klickibunti wichtiger ist, als ihre eigene Sicherheit. HTML hat imho in Emails überhaupt nichts zu suchen. Bilder etc kann man auch als Anhang senden. Nicht alles was möglich ist, ist auch ratsam.
 
@starship: naja, so drastisch würde ich das nicht sehen. Gestaltung spielt eben auch eine Rolle und nur weil es bösartige Mails gibt, wird die E-Mail per se ja auch nicht unter Strafe gestellt... oder anders gesagt, nur weil einer durch die Wohnungstür einbrechen kann, mauere ich diesen schmalen Gang nich zu um vor Einbrechern sicher zu sein... Beispiele gibts viele. es fehlt vielen nur die nötige Sensibilität mit ihrer Heimtechnik umzugehen, oder zumindest jemanden zu kennen der es ihnen idiotensicher erklärt.
 
Funktioniert diese Methode nicht mit jeder HTML-Webseite ebenfalls?
 
@Bitfreezer: kommt mir auch grad seltsam vor.., ja, oder?!
 
"Home-Türen lassen sich oft per Standardschlüssel hacken" - Wenn der Hausbesitzer nicht sicherheitshalber ein neues Schloß verbaut hat. In den eigenen vier Wänden ist fast jedem klar, dass so etwas normal ist. Aber bei IT hört bei vielen das Verständnis auf.
 
@Kobold-HH: Dank der üblichen TR-069 Backdoor in der Hardware vom ISP muss sich eigentlich niemand um Sicherheit noch großartig Gedanken machen. Es gibt einfach keine Sicherheit mehr! Nur noch Trojanische Pferde, die oberflächlich betrachtet wie Router vom ISP aussehen.
 
Die Standardpasswörter sind wohl eher dazu da, damit sich der Kunde leicht in die Geräte einloggen kann. Es "sollte" doch wohl jedem Routerbenutzer klar sein, das er das Standard Passwort durch ein sicheres ersetzen muß. Darauf wird auch in vielen Anleitungen dazu hingewiesen.
Aber viele lesen sich das wohl auch nicht durch, und gehen fahrlässig damit um.
 
@Klaus: +++++++++++++++
 
Schlimmer sind doch Router die per default W-Lan an haben und das ganze ohne PW.. ;)
 
Viel gefährlicher an Routern ist UPNP, damit können Trojaner / Viren direkt die Ports an der Firewall öffnen, die sie brauchen.
 
Und mal wieder: HTML hat in E-Mails NICHTS verloren!
 
@nutzer54321: folglich also keine verlinkungen mehr in e-mails? nur noch schnöde schwarz-weiß textbrocken ohne jegliche formatierung? willkommen in den 80ern...
 
@Rikibu: Weniger. Aber Bilder nur auf Zuruf nachladen ist schon sinnvoll, und Java/VBScripts haben in emails nun wirklich nichts zu suchen. Wer's anders will, kann sich sein Emailprogramm ja dann selber konfigurieren. Zum Thema: klingt wirklich etwas reißerisch - das ist ne Sache, die eigentlich hinlänglich bekannt sein sollte. Andererseits: der Zugang meiner Fritzbox war auch standardmäßig ungesichert. Klar hab ich das geändert, aber ich kann mir gut vorstellen, daß es genügend Honks gibt, die einfach die "Setup" CD reinwerfen, ihren DSL-Zugang eingeben und denken "so jetzt gehts, schluß mit Konfigurieren!" Dazu kommt, daß so ein WLAN-PW-Aufkleber ja schon mal eine Form von Sicherheit *suggeriert* -- immerhin ist der *aufgeklebt* (statt aufgedruckt) und mag den einen oder anderen dazu verleiten, da auch nix zu ändern (weil 'ist ja schon sicher eingestellt').
 
@nutzer54321: Finde ich eigentlich auch. Gerade Shoppingnewsletter sind mir lieber, wenn die Infos anbieten und keine bunten Bildchen.
 
Albern. Mit wievielen Routern funktioniert das wohl? Und wie viele Nutzer haben nur ein Standard-Router-Passwort?
 
Wer einen neuen Router mit den Standardpasswörtern des Herstellers betreibt ist entweder ein faules Schweinchen, dumm oder hat keine Ahnung und sollte generell die Finger von solche Sachen lassen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles