Abo
  • Services:
Anzeige
Vodafones Easybox 804 wird in Deutschland als Standardrouter ausgeliefert.
Vodafones Easybox 804 wird in Deutschland als Standardrouter ausgeliefert. (Bild: Vodafone/geändert)

Vodafone Easybox 804: Angeblich Hochladen von Schadsoftware möglich

Vodafones Easybox 804 wird in Deutschland als Standardrouter ausgeliefert.
Vodafones Easybox 804 wird in Deutschland als Standardrouter ausgeliefert. (Bild: Vodafone/geändert)

Auf den Standard-WLAN-Router von Vodafone könne wegen eines Softwarefehlers eine fremde Firmware hochgeladen werden, behauptet eine IT-Firma. Vodafone bestreitet das und verweist auf die schützende Signaturprüfung.

Der in Deutschland weit verbreitete WLAN-Router Easybox 804 von Vodafone soll durch eine Sicherheitslücke angreifbar sein. Angaben der deutschen IT-Firma Prosec Networks zufolge lässt sich durch einfaches Zurücksetzen des Passworts ein Factory Reset provozieren. Der Reset deaktiviert demnach fälschlicherweise gleichzeitig die Authentifizierung der Firmwareupdate-Funktion. Vodafone hat das nach eigenen Angaben überprüft und ist zu anderen Ergebnissen gekommen.

Anzeige

Vollständige Übernahme des Routers?

Dieser Fehler ermögliche es einem Angreifer im lokalen Netzwerk, "eine modifizierte, schadhafte Firmware hochzuladen und die gesamte Box zu kompromittieren", sagte der Geschäftsführer von Prosec, Tim Schughart, Golem.de. Auf diese Weise könne man unter anderem SSH-Ports freischalten und den gesamten Datenverkehr mitlesen.

Im Fall der Easybox 804 wäre es sogar besonders leicht, eine modifizierte Firmware zu erstellen. Vodafone hat deren Quellcode unter der GPL lizenziert und stellt ihn Interessierten auf Anfrage zur Verfügung. Was Programmierer und Bastler grundsätzlich freuen dürfte, könnte sich für Vodafone hier vielleicht zum Nachteil auswirken.

Vodafone äußerte sich nach Veröffentlichung unseres ursprünglichen Artikels und bestreitet die Existenz der Lücke: "Unsere Security und Technik haben die vermeintlichen Schwachstellen [...] geprüft. Das Ergebnis: Die in den Hinweisen der Firma Prosec [...] kolportierten Schwachstellen sind nicht zutreffend", sagte eine Sprecherin. Dies hätten erneut erfolgte Tests von Vodafone und des Herstellers Cisco bestätigt sowie Prüfberichte, "die Vodafone vor der Einführung der Box in Auftrag gegeben hatte."

Aussage gegen Aussage

Prosec Networks besteht dennoch auf der Korrektheit seiner Tests. Das Hochladen einer potenziell schadhaften Firmware sei ohne Passworteingabe erfolgreich getestet worden. Ein von Prosec Networks angefertigtes Video zeigt, dass der Angreifer dabei entweder per LAN verbunden sein oder aber das Standard-WLAN-Passwort des Routers kennen muss, auf das die Easybox nach dem Factory Reset zurück gesetzt wird. Vodafone dagegen unterstreicht, der WPA-Schlüssel sei "komplex" und würde "für jedes Gerät individuell zufällig generiert".

Betroffen sind laut Prosec Networks alle Versionen des Modells Easybox 804, die in Deutschland standardmäßig an Vodafone-Kunden ausgeliefert werden. Auch die neueste Firmware-Version 01.05 vom 20. Oktober 2015 enthalte den Fehler. Prosec Networks habe nun bei Vodafone den Quellcode der Original-Firmware beantragt, um weitere Tests durchführen zu können.

Nachtrag vom 20. Juli 2016, 15:36 Uhr

Ursprünglich hatten wir basierend auf den Informationen von Prosec berichtet, es gebe zwei Sicherheitslücken im WLAN-Router Easybox 804 von Vodafone. Eine detaillierte Stellungnahme von Vodafone lag uns zu dem Zeitpunkt noch nicht vor. Mittlerweile spricht Prosec Networks nur noch von einer Lücke. Das Unternehmen hat eingeräumt, dass die ursprünglich behauptete mögliche Installation einer fremden Firmware nicht getestet wurde, diese werde - wie Vodafone bestätigt - durch eine Signaturprüfung verhindert. Lediglich der Upload fremder Firmware wurde laut Prosec Networks erfolgreich getestet. Vodafone hat sich inzwischen auch dazu geäußert. Dem Unternehmen zufolge gibt es keine der beiden Sicherheitslücken. Wir haben den Artikel entsprechend angepasst und die neuen Statements hinzugefügt.


eye home zur Startseite
Kabbone 21. Jul 2016

Mag sein, aber deswegen ist es per se nicht korrekt, dass allgemein das Wlan Passwort...

AlexanderSchäfer 19. Jul 2016

Wie soll denn ein Angreifer Zugriff auf das lokale Netz bekommen? Sein WLAN-Passwort...

strik0r 19. Jul 2016

Ich hatte die Box selbst für 1 Woche im Einsatz. Das Ding ist mega scheisse. Der...

Red-Bull 19. Jul 2016

Dann kann man es ja super einfach dafür bereitstellen oder? :)



Anzeige

Stellenmarkt
  1. Syna GmbH, Frankfurt am Main
  2. T-Systems International GmbH, verschiedene Standorte
  3. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg
  4. Allianz Deutschland AG, München-Unterföhring


Anzeige
Top-Angebote
  1. 4,49€ (ohne Prime bzw. unter 29€-Einkauf zzgl. 3€ Versand)
  2. 4,49€ (ohne Prime bzw. unter 29€-Einkauf zzgl. 3€ Versand)
  3. 4,49€ (ohne Prime bzw. unter 29€-Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  2. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  3. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  4. Funkchips

    Apple klagt gegen Qualcomm

  5. Die Woche im Video

    B/ow the Wh:st/e!

  6. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  7. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  8. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  9. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  10. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Halo Wars 2 angespielt: Mit dem Warthog an die Strategiespielfront
Halo Wars 2 angespielt
Mit dem Warthog an die Strategiespielfront

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

  1. Re: und nun?

    GenXRoad | 00:25

  2. Re: Nur zu 50% versichert

    My1 | 00:22

  3. Re: Die man sich nicht leisten kann...

    GenXRoad | 00:20

  4. Re: Wer mietet denn eine PS4?

    GenXRoad | 00:18

  5. Soo viele Firmen..

    Vielfalt | 00:00


  1. 16:49

  2. 14:09

  3. 12:44

  4. 11:21

  5. 09:02

  6. 19:03

  7. 18:45

  8. 18:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel