Kabel Deutschland: Programm-App sendet Kundendaten im Klartext

Kunden von Kabel Deutschland, die den mobilen Programmführer des mittlerweile zu Vodafone gehörenden Providers nutzen, sollten das vorerst unterlassen. Denn die App hat einem Bericht zufolge eine schwerwiegende Sicherheitslücke, damit lässt sich sogar ein Nutzerkonto übernehmen.

Keine Verschlüsselung

Heise Security hat in der Programm-Manager-App, die auf Android sowie iOS angeboten wird, eine Lücke entdeckt, die es sicherlich in sich hat. Denn die Anwendung, mit der man unter anderem ferngesteuert den Festplatten-Receiver programmieren kann, verschlüsselt die Zugangsdaten im Rahmen der Übertragung nicht, sondern übermittelt diese sensiblen Daten im Klartext. Heise bezeichnet das als "grob fahrlässig", eine Einschätzung, der man sich sicherlich nur anschließen kann.

Mit den auf diese Weise übertragenen Kundendaten sollte man nicht leichtfertig umgehen, da damit jede Menge Schaden angerichtet werden kann. Über das Kundenportal von Kabel Deutschland können Mails, Verträge und sonstige sensible Daten eingesehen und manipuliert werden.

Als besonders gefährlich werden die ebenfalls möglichen Umleitungen einer Rufnummer angesehen: Laut Heise gebe es eine bei Betrügern besonders beliebte Masche und zwar die Einrichtung einer Umleitung auf eine teure Premiumnummer. Der jeweilige Nutzer wird daraufhin angerufen und bezahlt unwissentlich die heimlich eingerichteten Zusatzkosten.

Seit Monaten bekannte Sicherheitslücke

Neu dürfte das für Kabel Deutschland nicht sein. Denn entdeckt wurde die Schwachstelle bereits Anfang des Jahres, der Consulter Peter Hämmerlein hat das Unternehmen schon vor Monaten darauf hingewiesen. Ein Sprecher bestätigte, dass man davon wisse und kündigte an, dass man "derzeit die Aktivierung der Verschlüsselung der Kommunikation zwischen App und Server" vorbereite. Das soll zu einem nicht näher genannten Termin Mitte September erfolgen.

Update 3. September: Kabel Deutschland hat die Lücke inzwischen geschlossen und uns folgenden Text geschickt: "Kabel Deutschland hat mit Hochdruck an einer Lösung der Problematik gearbeitet. Es wurde eine permanente Umleitung auf https eingeführt, so dass die Kommunikation nach dem Verbindungsaufbau jederzeit verschlüsselt erfolgt und insbesondere sensible Daten wie Login-Daten verschlüsselt übertragen werden. Damit die Änderungen bei allen Benutzern greifen, soll ein Neustart des Gerätes zur Sicherheit durchgeführt werden. Darüber hinaus bereitet Kabel Deutschland eine Aktualisierung für die iOS- und Android-Apps, die voraussichtlich Mitte September in Abhängigkeit der Freigabeprozesse der App-Stores veröffentlicht wird." App, Kabel Deutschland, Programmführer Kabel Deutschland