2,8 Millionen Kunden betroffen:
Sicherheitsleck bei Zwangsroutern
Laut Medienbericht waren rund 2,8 Millionen Kunden von Kabel Deutschland (jetzt Teil von Vodafone) vermutlich schon über Jahre von einem Sicherheitsleck betroffen, das in einem Zwangsrouter klaffte. Vodafone hat den Bericht bestätigt und zugesagt, dass der Fehler behoben wurde.
Wie so oft will Graf die Lücke dabei eigentlich nur per Zufall entdeckt haben. Bei einer Untersuchung hatte sich der Entwickler Zugriff auf den von Kabel Deutschland zwangsmäßig bereitgestellten Router verschafft. Auf diesem Weg sollten die VoIP-Zugangsdaten ausgelesen werden, die der Provider eigentlich unter Verschluss hält, um den Anschluss von fremder Hardware zu verhindern.
Bei einer genauen Untersuchung des Systems stolperte Graf über eine Netzwerk-Verbindung, die normalerweise nicht sichtbar sein sollte. Wie sich bei der weiteren Untersuchung zeigte, hatte der Entwickler Zugriff auf das interne Wartungsnetz von Kabel Deutschland erlangt. Das große Problem: Normalerweise sollten nur Service-Mitarbeiter Zugriff auf diesen Kanal haben, dieser stand aber theoretisch allen Nutzern offen.
Wegen einer entsprechenden Lücke im VoIP-System des Providers wäre es laut Graf sogar möglich gewesen, Telefonanschlüsse zu übernehmen und auf Kosten der Nutzer zu telefonieren. Nach einem Hinweis durch die c't-Redaktion im November soll die Lücke durch Kabel Deutschland schnell geschlossen worden sein. Einen Monat später teilte das Unternehmen mit, dass die rund 2,8 Millionen betroffenen Nutzer wieder vollkommen geschützt sein sollen.
Jahre lang offen für Angriffe
Wie heise in seinem Bericht zu der Sicherheitslücke schreibt, wurde diese von dem Linux-Entwickler Alexander Graf entdeckt, der sich im Anschluss an die Fachleute von c't wandte, die wiederum den Provider über das Problem informierten. Durch die Schwachstelle war es nach diesen Informationen theoretisch möglich, fremde VoIP-Anschlüsse und Modems zu übernehmen - also die fast vollständige Kontrolle über die Kommunikation des Nutzers zu übernehmen.Wie so oft will Graf die Lücke dabei eigentlich nur per Zufall entdeckt haben. Bei einer Untersuchung hatte sich der Entwickler Zugriff auf den von Kabel Deutschland zwangsmäßig bereitgestellten Router verschafft. Auf diesem Weg sollten die VoIP-Zugangsdaten ausgelesen werden, die der Provider eigentlich unter Verschluss hält, um den Anschluss von fremder Hardware zu verhindern.
Bei einer genauen Untersuchung des Systems stolperte Graf über eine Netzwerk-Verbindung, die normalerweise nicht sichtbar sein sollte. Wie sich bei der weiteren Untersuchung zeigte, hatte der Entwickler Zugriff auf das interne Wartungsnetz von Kabel Deutschland erlangt. Das große Problem: Normalerweise sollten nur Service-Mitarbeiter Zugriff auf diesen Kanal haben, dieser stand aber theoretisch allen Nutzern offen.
Passwörter im Klartext
Eigentlich sollte der Zugriff auf das Netzwerk noch durch eine Passwort-Abfrage beschränkt sein. Graf war es nach dem Bericht allerdings sehr leicht möglich, die nötigen Kennwörter zu ermitteln, da diese als leicht zu knackender Hash im Browser oder sogar teilweise im Klartext vorlagen. Besonders fatal: die Zwangsrouter aller Kunden waren mit dem gleichen Passwort gesichert. Dem Entwickler war es durch diese Lücke möglich, Datenverkehr aufzuzeichnen und zu manipulieren.Wegen einer entsprechenden Lücke im VoIP-System des Providers wäre es laut Graf sogar möglich gewesen, Telefonanschlüsse zu übernehmen und auf Kosten der Nutzer zu telefonieren. Nach einem Hinweis durch die c't-Redaktion im November soll die Lücke durch Kabel Deutschland schnell geschlossen worden sein. Einen Monat später teilte das Unternehmen mit, dass die rund 2,8 Millionen betroffenen Nutzer wieder vollkommen geschützt sein sollen.
Thema:
Beliebt im Preisvergleich
- CAM/CI-Module:
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- 1&1 krempelt Mobilfunktarife um: Jetzt teils mehr für weniger Geld
- Starlink-Konkurrent: Amazon hat genügend Satelliten, um zu starten
- Intel hebt Preise für beliebte Budget-Gaming-CPUs still und heimlich an
- FritzOS 8.25: Neues FritzBox-Update erreicht weitere Modelle
- WM 2026 für 4,99 Euro: Waipu.tv haut 4K-Stick (fast) gratis raus
- Samsung verklagt eine Stadt in NRW: Streit um Schul-iPads eskaliert
Videos
Beliebte Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen