FON mit unsicheren Logins?

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen

Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Anzeige

Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.

Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der "pcap-recorder" steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.

Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router "La Fonera" zu tun gehabt.

"Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online", so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.

FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen.

Kommentarübersicht
Deshalb gibt es ja jetzt 5/$5-Router von...
Tobias Claren 16. Okt 2006

Man kann deren La Fonera-Gerät ja einfach zusätzlich am bestehenden Linksys WRT54G(s...

Hat mit SSL nichts zu tun
Felix E 19. Sep 2006

Der shared key für chillispot ("uamsecret") ist auf allen FON routern gleich. Dadurch...

schickts doch mal an slashdot.org ;)
pierre kerchner 18. Sep 2006

vielleicht interessiert die das ja auch pierre

Re: FON = unsicher !!!
cawfee 18. Sep 2006

Oder verschlüsselt seine wirklich wichtigen Sachen *vor* dem absenden und ist nicht...

hotspotDSL gibts auch noch
Pierre Kerchner 18. Sep 2006

....das ganz ohne Firmware auskommt also mit jedem Router arbeitet (auf TDSL Basis) zudem...

Kommentieren

Trackbacks

Z! - Zeitgeist, Entwicklung, Technik / 25. Sep 2006

Z! - Episode 36: Mehr Leistung kostet Geld.

pl0g.de / 19. Sep 2006

fon wlan-community

Anzeige
Stellenmarkt
  1. Qualitätssicherungs-Verantwo- rtliche/r IT-Projekte
    Dr. Ing. h.c. F. Porsche AG, Stuttgart
  2. Produktmanager / Produktmanagerin
    econda GmbH, Karlsruhe
  3. Software Engineer (m/w)
    PTV Planung Transport Verkehr AG, Karlsruhe
  4. Testmanager / Teamleiter für Verbundtests von Werkzeugketten (m/w)
    dSPACE GmbH, Paderborn

 

Detailsuche

Folgen Sie uns
       
Videos
Rhythm Heaven - Trailer (Launch) Rhythm Heaven - Trailer (Launch)
Meistgelesen
  1. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro
  2. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben
  3. Nortel Networks

    Nortel war fast zehn Jahre lang gehackt
  4. Smartphone-App

    Remove löscht störende Menschen im Bild
  5. Google

    Wir haben den größten DNS-Dienst
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 201 | letzter Beitrag 08:32 Uhr

  3. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 194 | letzter Beitrag 14.02. 13:50

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 117 | letzter Beitrag 14.02. 12:39

  5. Spielebranche: Diskussion über "stinkende Gamer"

    Kommentare: 101 | letzter Beitrag 02:39 Uhr

Mehr

Ticker
  1. Bioware

    Kurz die Welt retten in der Demo zu Mass Effect 3

  2. Adobe

    Photoshop CS6 mit Content-Aware Move

  3. Google

    Wir haben den größten DNS-Dienst

  4. Lensbaby

    Teleobjektiv mit absichtlicher Unschärfe

  5. Smartphone-App

    Remove löscht störende Menschen im Bild

  6. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro

  7. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

  8. TZ77XE4

    Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

  9. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar

  10. Fifa Street

    Last Man Standing auf dem Bolzplatz

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Libreoffice
Document Foundation: Libreoffice 3.5 ist fertig
Document Foundation
Libreoffice 3.5 ist fertig

Die Document Foundation hat Libreoffice 3.5 veröffentlicht. Alle Komponenten der Office-Software haben Verbesserungen erhalten, mit denen sich die jeweiligen Anwendungen besser bedienen lassen sollen.

  1. Freies Office IBM wird Apache Openoffice unterstützen
Mozilla
Watchdog: Mozilla visualisiert Wiederverwendung von Passwörtern
Watchdog
Mozilla visualisiert Wiederverwendung von Passwörtern

Die Mozilla Labs haben im Rahmen ihres Projekts Watchdog den "Password Reuse Visualizer" veröffentlicht. Die Firefox-Erweiterung zeigt, welche Passwörter der Nutzer wo und wie oft verwendet.

  1. Open-Source-Lizenzen Mozilla Public License 2.0 erheblich vereinfacht
  2. David Ascher "Trefft das neue Mozilla!"
  3. Chrome-Entwickler Mozilla ist Googles Partner, nicht Googles Konkurrent
Android-Handy
HTC Velocity 4G: Android-Smartphone mit LTE und 4,5-Zoll-Touchscreen
HTC Velocity 4G
Android-Smartphone mit LTE und 4,5-Zoll-Touchscreen

Im April 2012 wollen Vodafone und HTC gemeinsam das Velocity 4G als erstes LTE-Smartphone für Deutschland auf den Markt bringen. Das Android-Smartphone hat einen 4,5 Zoll großen Touchscreen und eine 8-Megapixel-Kamera.

  1. Cloud Mobile Acer plant Smartphone mit Android 4.1 und eigener Cloud
  2. Motorola Defy Mini Android-Smartphone mit IP67-Zertifizierung kommt im März
  3. Android-Smartphone Motorola bringt Motoluxe erst im März für 280 Euro
Forumsbeiträge »
  1. Fifa Street Last Man Standing auf dem Bolzplatz

    Re: Noch mehr Kohle für EA

    Bill S. Preston | 10:06

  2. Abmahnabzocke Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße

    Re: gutes Geschäftsmodell ja

    newjack | 10:04

  3. Megaupload Richter gewährt Angeklagten Kaution

    Re: Auslieferung an die USA?

    kmork | 10:03

  4. Unity Technologies Bessere Grafik und KI mit Unity 3.5 verfügbar

    Re: Der Desktop soll doch keine 3D Partikelshow sein

    Endwickler | 10:01

  5. Proview Technology Ausfuhrverbot soll Apple von iPad-Herstellern abschneiden

    Re: China ist jetzt in der Klemme

    Blablablublub | 10:01

Ticker »
  1. Bioware Kurz die Welt retten in der Demo zu Mass Effect 3

    09:29

  2. Adobe Photoshop CS6 mit Content-Aware Move

    08:55

  3. Google Wir haben den größten DNS-Dienst

    08:33

  4. Lensbaby Teleobjektiv mit absichtlicher Unschärfe

    08:17

  5. Smartphone-App Remove löscht störende Menschen im Bild

    08:13

  6. Radeon HD 7770 und 7750 im Test Die Grafikkarte mit 1 GHz für 159 Euro

    06:01

  7. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    18:20

  8. TZ77XE4 Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

    18:13

Zum Artikel