Abo
  • IT-Karriere:

FON mit unsicheren Logins?

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen

Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Artikel veröffentlicht am ,

Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.

Stellenmarkt
  1. Universitätsklinikum Augsburg, Augsburg
  2. INNEO Solutions GmbH, Leipzig

Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der "pcap-recorder" steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.

Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router "La Fonera" zu tun gehabt.

"Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online", so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.

FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen.



Anzeige
Spiele-Angebote
  1. 2,22€
  2. 19,49€
  3. 3,99€
  4. 2,99€

Tobias Claren 16. Okt 2006

Man kann deren La Fonera-Gerät ja einfach zusätzlich am bestehenden Linksys WRT54G(s...

Felix E 19. Sep 2006

Der shared key für chillispot ("uamsecret") ist auf allen FON routern gleich. Dadurch...

pierre kerchner 18. Sep 2006

vielleicht interessiert die das ja auch pierre

cawfee 18. Sep 2006

Oder verschlüsselt seine wirklich wichtigen Sachen *vor* dem absenden und ist nicht...

Pierre Kerchner 18. Sep 2006

....das ganz ohne Firmware auskommt also mit jedem Router arbeitet (auf TDSL Basis) zudem...


Folgen Sie uns
       


Parrot Anafi Thermal angesehen

Die Anafi Thermal kann dank Wärmebildsensor Temperaturdaten von -10 bis 400° Celsius messen.

Parrot Anafi Thermal angesehen Video aufrufen
Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

    •  /