Anzeige
Stefan Viehböck findet erneut Sicherheitslücke in Vodafone Routern.
Stefan Viehböck findet erneut Sicherheitslücke in Vodafone Routern. (Bild: SEC Consult)

Easybox Kritische Sicherheitslücke in Vodafone-Routern

Der österreichische Sicherheitsforscher Stefan Viehböck hat einmal mehr eine kritische Sicherheitslücke in DSL-WLAN-Routern von Vodafone entdeckt. Die WPS-PIN der Router lässt sich anhand ihrer MAC-Adresse errechnen.

Anzeige

Stefan Viehböck von der Firma SEC Consult Vulnerability Lab weist erneut auf eine kritische Sicherheitslücke in mehreren DSL-WLAN-Routern hin, die von Vodafone unter eigenem Namen angeboten werden. Die Easybox 802 und Easybox 803 genannten Geräte werden von Arcadyan/Astoria Networks hergestellt, aber von Vodafone unter seinem Namen vertrieben.

Die Router werden von Haus aus mit aktiviertem WLAN ausgeliefert, der Zugriff auf das verschlüsselte WLAN ist über eine WPS-PIN möglich, die auf die Rückseite der Geräte gedruckt ist. Der Algorithmus, mit dem diese WPS-PINs erzeugt werden, ist aber fehlerhaft, wie Viehböck herausfand. Dadurch lässt sich die WPSN-PIN anhand der MAC-Adresse (BSSID) und der Seriennummer des Geräts errechnen, wobei die Seriennummer von der MAC-Adresse abgeleitet ist.

Ein nicht am WLAN angemeldeter Angreifer, der sich in Reichweite des WLAN-Access-Points befindet, kann die BSSID anhand der 802.11-Beacon-Frames mitschneiden und daraus die WPS-PIN errechnen. Mit dieser PIN lassen sich dann die Konfiguration des WLAN-Routers samt WPA-Passwort abfragen oder verändern. So kann sich der Angreifer letztendlich mit dem WLAN-Router verbinden und Inhalte im lokalen Netz mitschneiden, Man-in-the-Middle-Angriffe durchführen oder Rechner im Internet über den Internetzugang des Router-Besitzers angreifen.

Viehböck hat Vodafone bereits Ende 2012 über die Sicherheitslücke samt Proof-of-Concept informiert und sie nun veröffentlicht. Laut Vodafone sind Easysbox-803-Modelle, die nach August 2011 verkauft wurden, von dem Problem nicht betroffen. Wer eines der betroffenen Geräte hat, sollte die WPS-PIN ändern oder WPS komplett abschalten, rät Viehböck.


eye home zur Startseite
aaron2222 18. Jan 2014

Hi, da ich gerade einen sehr billigen Router für Testaufbauten benötigt habe, habe ich...

alcarsharif 16. Aug 2013

Sie mache immerhin solche Videos bei Youtube. https://www.youtube.com/watch?v=pRdawdtz2PE

PatrickSchlegel 06. Aug 2013

An Eizi, Genau wegen der Kompatibilitaet ist diese Wifi Alliance ins leben gerufen...

AssKickA 06. Aug 2013

Er ist sicherlich nicht platt, sondern du bist vermutlich wie ich eine seltene Ausnahme...

Himmerlarschund... 06. Aug 2013

Und wenn die DB geleakt wird, dann hat jeder gleich ALLE Keys und muss sich dafür nicht...

Kommentieren


myDealZ.de / 09. Aug 2013

spackblog / 05. Aug 2013



Anzeige

  1. Trainee Requirements Engineer (m/w) Cloud Produkte
    Haufe Gruppe, Freiburg im Breisgau
  2. Software-Entwickler (m/w) Java/C++
    IVU Traffic Technologies AG, Berlin, Aachen
  3. UX Designer für Mobile Apps (m/w)
    Daimler AG, Ulm
  4. Projektmanager (m/w)
    T-Systems International GmbH, Berlin, Bonn, Darmstadt, München, Münster

Detailsuche



Anzeige
Blu-ray-Angebote
  1. TV-Serien Einstieg auf Blu-ray reduziert
    (u. a. Arrow, Hannibal, The Originals, Banshee, The Big Bang Theory, Silicon Valley)
  2. Blu-rays zum Sonderpreis
    (u. a. Codename U.N.C.L.E 8,94€, Chappie 9,97€, San Andreas 9,99€, Skyfall 6,19€)
  3. The Revenant - Der Rückkehrer (+ 4K Ultra HD-Blu-ray)
    29,99€

Weitere Angebote


Folgen Sie uns
       


  1. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  2. Model S

    Teslas Autopilot verursacht Auffahrunfall

  3. Security

    Microsoft will Passwort 'Passwort' verbieten

  4. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  5. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  6. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  7. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  8. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  9. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  10. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Googles Neuvorstellungen: Alles nur geklaut?
Googles Neuvorstellungen
Alles nur geklaut?
  1. Google I/O Android Auto wird eine eigenständige App
  2. Jacquard und Soli Google bringt smarte Jacke und verbessert Radar-Chip
  3. Modulares Smartphone Project Ara soll 2017 kommen - nur noch teilweise modular

Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Sprachassistent Voßhoff will nicht mit Siri sprechen
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Dann werden die Bussgelder auf die Kunden umverlegt

    mrgenie | 07:00

  2. Re: Na super

    DerVorhangZuUnd... | 06:53

  3. Re: Nein.

    barforbarfoo | 06:52

  4. Verstehe nicht was so schwer daran ist

    kelzinc | 06:50

  5. Re: Gute Idee aus Verbrauchersicht

    Ovaron | 06:49


  1. 14:15

  2. 13:47

  3. 13:00

  4. 12:30

  5. 11:51

  6. 11:22

  7. 11:09

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel