Anzeige

FON mit unsicheren Logins?

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen

Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.

Anzeige

Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der "pcap-recorder" steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.

Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router "La Fonera" zu tun gehabt.

"Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online", so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.

FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen.


eye home zur Startseite
Tobias Claren 16. Okt 2006

Man kann deren La Fonera-Gerät ja einfach zusätzlich am bestehenden Linksys WRT54G(s...

Felix E 19. Sep 2006

Der shared key für chillispot ("uamsecret") ist auf allen FON routern gleich. Dadurch...

pierre kerchner 18. Sep 2006

vielleicht interessiert die das ja auch pierre

cawfee 18. Sep 2006

Oder verschlüsselt seine wirklich wichtigen Sachen *vor* dem absenden und ist nicht...

Pierre Kerchner 18. Sep 2006

....das ganz ohne Firmware auskommt also mit jedem Router arbeitet (auf TDSL Basis) zudem...



Anzeige

Stellenmarkt
  1. über 3C - Career Consulting Company GmbH, Stuttgart
  2. WITZENMANN GmbH, Pforzheim
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. SICK AG, Waldkirch bei Freiburg im Breisgau


Anzeige
Hardware-Angebote
  1. 399,00€
  2. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)

Folgen Sie uns
       


  1. Fraunhofer SIT

    Volksverschlüsselung startet ohne Quellcode

  2. Axon 7 im Hands on

    Oneplus bekommt starke Konkurrenz

  3. Brexit

    Vodafone prüft Umzug des Konzernsitzes aus UK

  4. Patent

    Apple will Konzertaufnahmen verhindern

  5. id Software

    Doom bekommt die Waffen mittig

  6. Onlinehandel

    Amazon droht nach vier Rücksendungen mit Kontensperrung

  7. Tour de France

    Thermokameras sollen Motor-Doper überführen

  8. Symantec und Norton

    Millionen Antivirennutzer durch Schwachstelle verwundbar

  9. Bargeld nervt

    Startups und Kryptowährungen mischen die Finanzbranche auf

  10. Kickstarter

    System Shock sammelt Geld mit spielbarer Demo



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

Prozessor: Den einen Core M gibt es nicht
Prozessor
Den einen Core M gibt es nicht
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten

  1. Re: Frage zur Kontensperrung

    CarstenKnuth | 14:42

  2. Re: WTF?

    smirg0l | 14:40

  3. Re: GPL

    schily | 14:39

  4. Re: Seit wann denken Konzernlenker weiter ...

    Poison Nuke | 14:39

  5. Re: Microsoft ist nicht mehr zu trauen.

    Trollversteher | 14:39


  1. 14:18

  2. 12:11

  3. 12:06

  4. 11:50

  5. 11:40

  6. 11:15

  7. 11:09

  8. 10:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel