Abo
  • Services:
Anzeige

FON mit unsicheren Logins?

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen

Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.

Anzeige

Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der "pcap-recorder" steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.

Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router "La Fonera" zu tun gehabt.

"Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online", so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.

FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen.


eye home zur Startseite
Tobias Claren 16. Okt 2006

Man kann deren La Fonera-Gerät ja einfach zusätzlich am bestehenden Linksys WRT54G(s...

Felix E 19. Sep 2006

Der shared key für chillispot ("uamsecret") ist auf allen FON routern gleich. Dadurch...

pierre kerchner 18. Sep 2006

vielleicht interessiert die das ja auch pierre

cawfee 18. Sep 2006

Oder verschlüsselt seine wirklich wichtigen Sachen *vor* dem absenden und ist nicht...

Pierre Kerchner 18. Sep 2006

....das ganz ohne Firmware auskommt also mit jedem Router arbeitet (auf TDSL Basis) zudem...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. DICOS GmbH Kommunikationssysteme, Darmstadt
  3. Allianz Deutschland AG, Unterföhring
  4. TÜV SÜD Gruppe, Filderstadt bei Stuttgart


Anzeige
Spiele-Angebote
  1. 59,99€ (Vorbesteller-Preisgarantie) - Release 02.08.
  2. 149,99€
  3. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Umsatzhalbierung

    Gopro macht 47 Prozent Minus

  2. Bankkonto entfernt

    Paypal hat Probleme mit Lastschriftzahlungen

  3. Apple

    Eine Milliarde iPhones verkauft

  4. Polaris-Grafikkarten

    AMD stellt Radeon RX 470 und RX 460 vor

  5. Windows 10 Anniversary Update

    Cortana wird zur alleinigen Suchfunktion

  6. Quartalsbericht

    Amazon schwimmt im Geld

  7. Software

    Oracle kauft Netsuite für 9,3 Milliarden US-Dollar

  8. Innovation Train

    Deutsche Bahn kooperiert mit Hyperloop

  9. International E-Sport Federation

    Alibaba steckt 150 Millionen US-Dollar in E-Sport

  10. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Re: Hyperloop ist fake

    Magroll | 09:52

  2. Re: Steuer drauf

    SchmuseTigger | 09:51

  3. Re: Der Preis ist doch kein Wunder. Das geht...

    the_wayne | 09:49

  4. Re: Windows 7 Treiber vorhanden?

    SchmuseTigger | 09:49

  5. Re: windows 7

    x2k | 09:48


  1. 07:39

  2. 07:27

  3. 07:10

  4. 06:00

  5. 23:26

  6. 22:58

  7. 22:43

  8. 18:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel