Speedport W 921V: WLAN-Router der Telekom stehen völlig offen
Der unsichere Speedport W 921V sollte nur ohne WLAN genutzt werden. (Bild: T-Online)

Speedport W 921V WLAN-Router der Telekom stehen völlig offen

Der Einbruch in private WLANs von DSL-Kunden ist so einfach wie nie: Die Router des Typs Speedport W 921V haben eine eingebaute Hintertür. Sie ist ohne Spezialkenntnisse in Sekunden zu öffnen, ein Gegenmittel gibt es bisher nicht. Nur das Abschalten des WLANs hilft.

Anzeige

Um sich mit einem WLAN zu verbinden, gibt es neben dem bekannten Passwort auch eine weitere Methode: eine nur aus Ziffern bestehende PIN für das Verfahren WPS. Das ist jedoch so unsicher, dass es bei den meisten Routern ab Werk abgeschaltet ist. Das gilt auch für den Router Speedport W 921V, den die Telekom sowohl verkauft als auch ihren DSL-Kunden anbietet.

Bei diesem Gerät ist WPS mit PIN aber im Gegensatz zu den Anzeigen des Geräts in seiner Konfigurationsoberfläche stets eingeschaltet, wie Heise Online berichtet. Schlimmer noch: Der Nutzer kann WPS mit PIN nicht abschalten, und es existiert eine für alle Router dieses Typs gültige PIN, mit der sich jeder in Reichweite des WLANs in Sekunden mit dem fremden Netz verbinden kann.

Heise Online zufolge existiert die Lücke mindestens bei Geräten mit der Firmware 1.08.000 oder 1.16.000. Letzteres ist das aktuelle Update, das die Telekom auf ihren Webseiten anbietet. Um wie viele Geräte es sich handelt, ist nicht bekannt, es sollen mehrere 100.000 sein.

Es handelt sich dabei offenbar um eine klassische Hintertür. Der Generalschlüssel dafür ist im Netz leicht zu finden, auch in einem Forum der Telekom. Dort war das Problem mitsamt einer Anleitung zum Einbruch bereits am 23. April 2012 beschrieben worden, zum Zeitpunkt des Erscheinens dieser Meldung steht der Eintrag dort noch immer unverändert.

Das WLAN muss ausgeschaltet werden

Spezialwissen, Hackertools oder das Knacken eine Passworts sind für den Zugang zu einem fremden WLAN mit dem unsicheren Router nicht nötig. Ein Angreifer braucht nur ein Programm, das WPS mit PIN auch anbietet - unter Windows 7 gibt es das mit den Microsoft-Treibern nicht, viele Hersteller von WLAN-Adaptern bieten die entsprechenden Tools aber zum freien Download an. Sie sind ebenso leicht zu finden wie die PIN, die bei allen Speedport W 921V funktioniert. Manchmal muss man auch weniger suchen: Auf vielen Notebooks, die mit Intels "My WiFi"-Paket versehen sind, gibt es WPS per PIN schon vorinstalliert.

Da sich WPS mit PIN bei diesem Router nicht abschalten lässt, gibt es nur eine Möglichkeit, um sich gegen einen unerwünschten Zugriff zu schützen: Das WLAN des Geräts muss vollständig abgeschaltet werden. Nur so ist der Anwender des Speedport davor sicher, nicht durch Eindringlinge sogar straffällig zu werden. Der Bundesgerichtshof hatte bereits 2010 entschieden, dass ein nicht ausreichend gesichertes WLAN den Betreiber zur Störerhaftung verdammt, wenn darüber illegale Aktivitäten durchgeführt werden.

Laut dem Bericht will die Telekom auf das Problem aktiv hinweisen, beispielsweise auf ihren Webseiten. Ob auch andere der zahlreichen und immer wieder durch Sicherheitsprobleme aufgefallenen Speedport-Router von der aktuellen Lücke betroffen sind, ist derzeit noch nicht bekannt.

Nachtrag vom 25. April 2012, 17:05 Uhr

Die Telekom hat den entsprechenden Foreneintrag geändert und die PIN entfernt. Der Beitrag selbst, der eine Anleitung für den Einbruch in fremde WLANs ist, existiert jedoch noch. Eine sonstige Reaktion auf mehrere Anfragen von Golem.de gibt es noch nicht.

Nachtrag vom 25. April 2012, 18:50 Uhr

Die Telekom hat die Lücke im Speedport W 921V bestätigt und rät zum Abschalten des WLANs. Zwei weitere Modelle haben ebenfalls ein Problem mit WPS. Beim Speedport W504V und W723V reicht es aber nach Angaben des Unternehmens, die Funktion abzuschalten. Das WLAN darf bei diesem Gerät angeschaltet bleiben, ein neues WLAN-Passwort sollte aber gesetzt werden. Weitere Informationen finden sich in einer aktuellen Meldung.


Cyruss1989 26. Apr 2012

Funktionieren normale Modems/Router denn nicht mit dem Telekom Netz? Für das Geld...

lala1 26. Apr 2012

oder **3456**

Sharra 26. Apr 2012

Jeder Routerhersteller ist (oder sollte) sich bewusst, dass die Dinger auch von aussen...

Lu 25. Apr 2012

Demnächst auf Golem.de das große Battle. Telekomjünger vs.... Spaß beiseite. Seit doch...

Winchester 25. Apr 2012

Bislang gibt es nur auf dieser Seite einen Hinweis: http://www.telekom.com/startseite...

Kommentieren



Anzeige

  1. Systembetreuer/in
    Albert Handtmann Metallgusswerk GmbH & Co. KG, Biberach, Riss
  2. Ingenieur/in für embedded Software-Entwicklung (software- / systembezogen)
    ESG Elektroniksystem- und Logistik-GmbH, Wolfsburg
  3. Software-Konfigurationsmanag- er (m/w)
    Dräger Medical GmbH, Lübeck
  4. Software-Entwickler (m/w)
    CI Tech Components AG, Dornach (Raum München)

 

Detailsuche


Folgen Sie uns
       


  1. Elektromagnetik

    Der Dietrich für den Dieb von heute

  2. O2 Car Connection

    Autodaten auf das Smartphone funken

  3. Wii U

    Firmware-Update räumt den Homescreen auf

  4. Mobilfunk

    Amazon verkauft neuerdings Smartphones mit Tarif

  5. Ello

    Das Anti-Facebook, nächster Versuch

  6. Konami

    PES 2015 und die Auflösung auf der Xbox One

  7. Microduino

    Kleine Bastlerboards zum Stapeln

  8. VR Clay

    3D-Sculpting mit Oculus Rift und Razer Hydra

  9. HP Proliant m400

    Moonshot-Microserver mit 64-Bit-ARM-Prozessoren

  10. Googles Project Ara

    Neue Informationen zum ersten modularen Smartphone



Haben wir etwas übersehen?

E-Mail an news@golem.de



Das Phänomen Anonymous: Niemals sein, immer nur werden
Das Phänomen Anonymous
Niemals sein, immer nur werden
  1. Lulzsec Sabu half bei Cyberangriffen in der Türkei

Radikalisierung im Internet: Wie Extremisten das Netz nutzen
Radikalisierung im Internet
Wie Extremisten das Netz nutzen
  1. Pornhub Pornoplattform kündigt Musiklabel Pornhub Records an
  2. Payment Blocking Bundesländer verbieten über 100 Glücksspielseiten
  3. Eutelsat HbbTV v2.0 bringt Video-on-Demand für langsames Internet

Star-Wars-Dreharbeiten: Drohnenabwehr gegen übermütige Fans
Star-Wars-Dreharbeiten
Drohnenabwehr gegen übermütige Fans
  1. Smartphone-Security FBI-Chef hat kein Verständnis für Verschlüsselung
  2. Find my iPhone Apple weiß seit Monaten von iCloud-Schwachstelle
  3. Cryptophone Verschlüsselung nicht für jedermann

    •  / 
    Zum Artikel