FON mit unsicheren Logins?

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen

Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Anzeige

Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.

Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der "pcap-recorder" steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.

Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router "La Fonera" zu tun gehabt.

"Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online", so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.

FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen.

Kommentarübersicht
Deshalb gibt es ja jetzt 5/$5-Router von...
Tobias Claren 16. Okt 2006

Man kann deren La Fonera-Gerät ja einfach zusätzlich am bestehenden Linksys WRT54G(s...

Hat mit SSL nichts zu tun
Felix E 19. Sep 2006

Der shared key für chillispot ("uamsecret") ist auf allen FON routern gleich. Dadurch...

schickts doch mal an slashdot.org ;)
pierre kerchner 18. Sep 2006

vielleicht interessiert die das ja auch pierre

Re: FON = unsicher !!!
cawfee 18. Sep 2006

Oder verschlüsselt seine wirklich wichtigen Sachen *vor* dem absenden und ist nicht...

hotspotDSL gibts auch noch
Pierre Kerchner 18. Sep 2006

....das ganz ohne Firmware auskommt also mit jedem Router arbeitet (auf TDSL Basis) zudem...

Kommentieren

Trackbacks

Z! - Zeitgeist, Entwicklung, Technik / 25. Sep 2006

Z! - Episode 36: Mehr Leistung kostet Geld.

pl0g.de / 19. Sep 2006

fon wlan-community

Anzeige
Stellenmarkt
  1. Leiter/in IT-Desktop Support
    Gesamtverband der Deutschen Versicherungswirtschaft e.V., Hamburg
  2. Softwareentwickler (m/w)
    RAFI GmbH & Co. KG, Berg / Ravensburg
  3. Mitarbeiter/in Support
    eCircle GmbH, München
  4. Software-Ingenieur (m/w) für das Customizing von Industry Software
    Siemens AG, Erlangen

 

Detailsuche

Folgen Sie uns
       
Videos
RIMs Blackberry Curve 9320 - Trailer RIMs Blackberry Curve 9320 - Trailer
Meistgelesen
  1. Diablo 3

    Höllischer Bug und harmlose Hardwareanforderungen
  2. Diablo 3

    Blizzards Server seit Stunden kaum erreichbar
  3. Tinkerforge im Test

    Elektronik zum Stapeln
  4. Kepler GK110

    Größter Chip der Welt mit 7 Mrd. Transistoren und Hyper-Q
  5. Geforce Grid

    Grafikkarten werden virtuell und streamen Spiele
Meistkommentiert
  1. Raumfahrt: Enterprise soll sich in 20 Jahren bauen lassen

    Kommentare: 318 | letzter Beitrag 13:28 Uhr

  2. Diablo 3: Blizzard über die Starter Edition und Grafikfilter

    Kommentare: 214 | letzter Beitrag 07:00 Uhr

  3. Diablo 3: Blizzards Server seit Stunden kaum erreichbar

    Kommentare: 152 | letzter Beitrag 13:11 Uhr

  4. Diablo 3: Shoppingcenter statt Sanktuario

    Kommentare: 115 | letzter Beitrag 13:09 Uhr

  5. Cloud-Speicher: Fraunhofer-Forscher warnen vor Dropbox & Co.

    Kommentare: 94 | letzter Beitrag 13:25 Uhr

Mehr

Ticker
  1. Forbes-Magazin

    Steve Ballmer macht Microsoft zu einem zweiten RIM

  2. Smartphones

    Fast 2,5-mal mehr Android-Smartphones als iPhones verkauft

  3. Tinkerforge im Test

    Elektronik zum Stapeln

  4. THQ

    Mehr Saints Row statt Devil's Third

  5. Handymarkt

    Nokia hat nur knapp gegen Samsung verloren

  6. Apple

    17 Sicherheitslücken in Windows-Version von Quicktime

  7. Energy Harvesting

    Viren in der Schuhsohle liefern Strom fürs Smartphone

  8. Umfrage

    53 Prozent der deutschen Internetnutzer in sozialem Netzwerk

  9. Freier Videoeditor

    Kdenlive 0.9 mit verbessertem Effektmanagement

  10. Spielebranche

    Ubisoft bereitet sich auf Next-Gen-Konsolen vor

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

iPad
7,85 Zoll: Angeblich iPad Mini mit flachem Touchdisplay geplant
7,85 Zoll
Angeblich iPad Mini mit flachem Touchdisplay geplant

Apple soll Zuliefererkreisen zufolge ein kleineres iPad mit 7,85 Zoll großem Bildschirm planen, das noch 2012 auf den Markt kommen soll. Das kleine Modell soll mit einem G/F2-Dünnfilm-Touchscreen ausgestattet werden, der kostengünstigere Geräte ermöglicht und so gegen Android-Tablets positioniert werden kann.

  1. Aluhülle iPad mutiert zum Macbook Air
  2. iPad-Tastatur Logitech stellt Ultrathin Keyboard Cover vor
  3. Projekt Blue Tiger Druckempfindlicher Stift fürs iPad
Headset
Plantronics: Leichtes Bluetooth-Stereo-Headset im In-Ear-Design
Plantronics
Leichtes Bluetooth-Stereo-Headset im In-Ear-Design

Plantronics hat mit dem Backbeat Go ein besonders kleines Stereoheadset vorgestellt, das über Bluetooth angesprochen wird. Die Im-Ohr-Ohrhörer sind sowohl zum Abspielen von Musik als auch zum Telefonieren gedacht.

Grafikhardware
Tesla K10: Kepler mal zwei mit schnellem Speicher
Tesla K10
Kepler mal zwei mit schnellem Speicher

GTC 2012 Nicht mit einer, sondern gleich mit zwei GPUs vom Typ GK104 ist die neue Tesla-Karte von Nvidia bestückt. Sie ist für Anwendungen mit einfacher Genauigkeit vorgesehen, bietet aber viel höhere Bandbreite als Fermi.

  1. Grafikkarte Nvidias GTX-670 bisher gut verfügbar
  2. Geforce GTX-690 im Test Schnellste und sparsamste Dual-GPU überzeugt
  3. Dual-GPU Nvidia will mehrere Tausend Geforce GTX-690 ausliefern
Forumsbeiträge »
  1. Smartphones Fast 2,5 Mal mehr Android-Smartphones als iPhones verkauft

    Re: VW verkauft mehr Fahrzeuge als BMW den 320d

    Versuchsperson | 13:35

  2. Umfrage 53 Prozent der deutschen Internetnutzer in sozialem Netzwerk

    Re: Trendwende?

    laZee | 13:33

  3. Tesla K10 Kepler mal zwei mit schnellem Speicher

    Re: Zile der Kaufinteressieren --> Neureiche ?

    inb4 | 13:33

  4. Tinkerforge im Test Elektronik zum Stapeln

    Re: Python ABC

    janpi3 | 13:29

  5. Energy Harvesting Viren in der Schuhsohle liefern Strom fürs Smartphone

    Werdet Postbote!

    eyemiru | 13:29

Ticker »
  1. Forbes-Magazin Steve Ballmer macht Microsoft zu einem zweiten RIM

    13:36

  2. Smartphones Fast 2,5-mal mehr Android-Smartphones als iPhones verkauft

    13:01

  3. Tinkerforge im Test Elektronik zum Stapeln

    12:07

  4. THQ Mehr Saints Row statt Devil's Third

    12:06

  5. Handymarkt Nokia hat nur knapp gegen Samsung verloren

    12:03

  6. Apple 17 Sicherheitslücken in Windows-Version von Quicktime

    12:01

  7. Energy Harvesting Viren in der Schuhsohle liefern Strom fürs Smartphone

    11:58

  8. Umfrage 53 Prozent der deutschen Internetnutzer in sozialem Netzwerk

    11:49

Zum Artikel