Okt 31

Während die Poltik sich noch nicht endgültig durchgerungen hat, die Zwangsrouter endlich abzuschaffen, liefert Vodafone (Kabel Deutschland) erneut handfeste Argumente für eine Abschaffung. Das WLAN der Kabelrouter CBN CH6640E0 und Hitron CVE-30360 ist hochgradig unsicher. Kunden, die ein Technicolor TC 7200 erhalten haben, sind von diesem Problem nicht betroffen. Möglicherweise sind aber Kunden anderer kleinerer Kabelanbieter betroffen, sofern sie eines dieser beiden Geräte von Ihrem Anbieter bezogen haben.

Das WLAN der beiden Router kann über die WPS-PIN Funktion in Sekundenschnelle geknackt werden. Beim Hitron-Router reicht dafür nach Angaben der c´t ein einfacher Taschenrechner, denn die PIN wird aus der MAC-Adresse errechnet und die MAC-Adresse ist für einen Angreifer ja sichtbar. Beide Router sind darüber hinaus für den Pixiedust-Angriff anfällig. Dieser ist etwas komplexer, kann jedoch mit einem geeigneten Linux auch von Laien durchgeführt. Schritt-für-Schritt-Anleitungen, wie dieser Angriff z.B. mit Kali-Linux durchgeführt wird, existieren zu Dutzenden im Netz. Der Angreifer erhält bei erfolgreichem Angriff das WLAN-Passwort im Klartext.

Während Vodafone von einer „theoretischen Schwachstelle“ ausgeht und behauptet, dass nur die Kunden betroffen sind, die WPS-PIN aktiv nutzen, geht die c´t von einem anderen Gefährdungspotential aus. Betroffen sind möglicherweise mehr als eine Million Kunden. Denn der Pixiedust-Angriff funktioniert wohl bei beiden Geräten, sobald man sich WLAN kostenpflichtig freischalten läßt. Bis Vodafone ein Update ausgerollt hat, sollten Benutzer des CBN Gerätes WPS deaktivieren. Beim Hitron soll es ausreichen, die „Push Button“ Methode zu aktivieren.

Wer mehr Kontrolle über sein Netz haben möchte, schaltet einen eigenen WLAN-Router hinter das Kabelmodem. Das ist auf Dauer nicht nur sicherer, sondern auch preiswerter. Allerdings gilt es auch hier etwas aufzupassen, denn der Pixiedust-Angriff (auf Deutsch auch Feenstaub genannt) funktioniert auch bei einigen frei verkäuflichen Routern, u.A. bei vielen älteren Modellen der Marke D-Link.

Die Tatsache, dass vermutlich eine Million Router betroffen sind und es noch einige Wochen dauern wird, bis Vodafone diese Lücken per Firmwareupdate schließen kann, führt auch unmittelbar zu Haftungsfrage. Haftet Vodafone für Schäden, die durch das unsichere WLAN entstehen können? Zum Beispiel dann, wenn ein unbekannter Täter sich in das WLAN eines Kunden hackt und von diesem Anschluss aus Straftaten oder Urheberrechtsdelikte begeht? Oder Daten aus dem Kundennetzwerk klaut? Immerhin kassiert Vodafone für die Aktivierung und Nutzung des WLANs monatlich zwei Euro extra und ist damit auch vertraglich verpflichtet, für ein sicheres Produkt nach „Stand der Technik“ zu sorgen. Da Pixiedust schon seit Ende 2014 bekannt ist, hätte Vodafone aktiv die Geräte auf diese Lücke hin überprüfen können. Dies geschah scheinbar nicht und damit stellt sich die Frage, ob Vodafone alles mögliche und zumutbare unternommen hat, den zahlenden Kunden ein Produkt „auf dem Stand der Technik“ bereitzustellen.

geschrieben von Holger \\ tags: , , , , , , , , ,

Hinterlasse ein Kommentar