Anzeige
Stefan Viehböck findet erneut Sicherheitslücke in Vodafone Routern.
Stefan Viehböck findet erneut Sicherheitslücke in Vodafone Routern. (Bild: SEC Consult)

Easybox Kritische Sicherheitslücke in Vodafone-Routern

Der österreichische Sicherheitsforscher Stefan Viehböck hat einmal mehr eine kritische Sicherheitslücke in DSL-WLAN-Routern von Vodafone entdeckt. Die WPS-PIN der Router lässt sich anhand ihrer MAC-Adresse errechnen.

Anzeige

Stefan Viehböck von der Firma SEC Consult Vulnerability Lab weist erneut auf eine kritische Sicherheitslücke in mehreren DSL-WLAN-Routern hin, die von Vodafone unter eigenem Namen angeboten werden. Die Easybox 802 und Easybox 803 genannten Geräte werden von Arcadyan/Astoria Networks hergestellt, aber von Vodafone unter seinem Namen vertrieben.

Die Router werden von Haus aus mit aktiviertem WLAN ausgeliefert, der Zugriff auf das verschlüsselte WLAN ist über eine WPS-PIN möglich, die auf die Rückseite der Geräte gedruckt ist. Der Algorithmus, mit dem diese WPS-PINs erzeugt werden, ist aber fehlerhaft, wie Viehböck herausfand. Dadurch lässt sich die WPSN-PIN anhand der MAC-Adresse (BSSID) und der Seriennummer des Geräts errechnen, wobei die Seriennummer von der MAC-Adresse abgeleitet ist.

Ein nicht am WLAN angemeldeter Angreifer, der sich in Reichweite des WLAN-Access-Points befindet, kann die BSSID anhand der 802.11-Beacon-Frames mitschneiden und daraus die WPS-PIN errechnen. Mit dieser PIN lassen sich dann die Konfiguration des WLAN-Routers samt WPA-Passwort abfragen oder verändern. So kann sich der Angreifer letztendlich mit dem WLAN-Router verbinden und Inhalte im lokalen Netz mitschneiden, Man-in-the-Middle-Angriffe durchführen oder Rechner im Internet über den Internetzugang des Router-Besitzers angreifen.

Viehböck hat Vodafone bereits Ende 2012 über die Sicherheitslücke samt Proof-of-Concept informiert und sie nun veröffentlicht. Laut Vodafone sind Easysbox-803-Modelle, die nach August 2011 verkauft wurden, von dem Problem nicht betroffen. Wer eines der betroffenen Geräte hat, sollte die WPS-PIN ändern oder WPS komplett abschalten, rät Viehböck.


eye home zur Startseite
aaron2222 18. Jan 2014

Hi, da ich gerade einen sehr billigen Router für Testaufbauten benötigt habe, habe ich...

alcarsharif 16. Aug 2013

Sie mache immerhin solche Videos bei Youtube. https://www.youtube.com/watch?v=pRdawdtz2PE

PatrickSchlegel 06. Aug 2013

An Eizi, Genau wegen der Kompatibilitaet ist diese Wifi Alliance ins leben gerufen...

AssKickA 06. Aug 2013

Er ist sicherlich nicht platt, sondern du bist vermutlich wie ich eine seltene Ausnahme...

Himmerlarschund... 06. Aug 2013

Und wenn die DB geleakt wird, dann hat jeder gleich ALLE Keys und muss sich dafür nicht...

Kommentieren


myDealZ.de / 09. Aug 2013

spackblog / 05. Aug 2013



Anzeige

Stellenmarkt
  1. Camelot Management Consultants AG, Mannheim, Köln, München, Basel (Schweiz)
  2. GK SOFTWARE AG, Schöneck/Vogtland, Berlin, Barsbüttel, Köln, Sankt Ingbert
  3. Robert Bosch GmbH, Reutlingen
  4. Wirecard Technologies GmbH, Aschheim bei München


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Maske, Die Goonies, Kiss Kiss Bang Bang, Batman: Under the Red Hood)
  2. (jeden Dienstag ist eine neue Folge verfügbar)
  3. 149,99€

Folgen Sie uns
       


  1. Axon 7

    ZTEs Topsmartphone kommt für 450 Euro nach Deutschland

  2. Medienanstalten

    Analoge TV-Verbreitung bindet hohe Netzkapazitäten

  3. Vorstandard

    Nokia will bereits ein 5G-fähiges Netz haben

  4. Vielfliegerprogramm

    Hacker stehlen Millionen Air-India-Meilen

  5. Funknetz

    BVG bietet offenes WLAN auf vielen U-Bahnhöfen

  6. Curiosity

    Weitere Hinweise auf einst sauerstoffreiche Mars-Atmosphäre

  7. Helium

    Neues Gas aus Tansania

  8. Streaming

    Netflix arbeitet mit Partnern an einer Sprachsuche

  9. Millionenrückzahlung

    Gericht erklärt Happy Birthday für gemeinfrei

  10. Trials of the Blood Dragon im Test

    Motorräder im B-Movie-Rausch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. Firaxis Games Lernen und prüfen mit Civilization Edu
  2. MCreator für Arduino Mit Klötzchen LEDs steuern
  3. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften

Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

  1. Re: Endlich....

    Spiritogre | 28.06. 23:59

  2. Re: Ein hoch auf die Smartphone Privacy Settings

    TC | 28.06. 23:58

  3. Re: Habe bei Wikipedia eine Zeit Beitraege gemacht

    Moe479 | 28.06. 23:58

  4. Re: Ist die Windows 10 Lizenz auf einen neuen...

    kelzinc | 28.06. 23:56

  5. Re: ABSCHALTEN!!!

    thorsten... | 28.06. 23:53


  1. 19:19

  2. 19:06

  3. 18:25

  4. 18:17

  5. 17:03

  6. 16:53

  7. 16:44

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel