Abo
  • Services:

UPnP-Router mit manipulierten Flash-Webseiten angreifbar

Unangenehm dürfte der Angriff etwa sein, wenn allgemeine Schwächen eines Betriebssystems parallel mit ausgenutzt werden. So sollte Windows XP in seinem Ur-Zustand oder mit Service Pack 1 ohne Router auf keinen Fall dem Internet ausgesetzt werden. Würmer wie Blaster/Lovsan kommen etwa in Verbindung mit einem UPnP-Flash-Banner so auch mit einem NAT-Router an den Rechner. In dem Falle sorgt ein NAT-Router nicht für zusätzliche Sicherheit, sondern stellt den Rechner dahinter auf dieselbe Stufe wie ein Rechner, der den Internetzugang direkt nutzt.

Stellenmarkt
  1. Regiocom GmbH, Magdeburg
  2. Robert Bosch GmbH, Reutlingen

Andere Angriffsmöglichkeiten wie die Manipulation des DNS-Server-Eintrages sollen laut GNU Citizen mit einigen Routern ebenfalls möglich sein: Das beinhaltet das Umleiten des nächsten Besuchs der Webseite der Hausbank auf eine Phishing-Seite. Auch die Umleitung von einer harmlosen Anwendung, die sich der Nutzer herunterladen möchte, auf eine Schadsoftware wäre denkbar.

Laut den Autoren des Artikels ist der einzige Weg, sich vor derartigen Angriffen zu schützen, das Abschalten von UPnP im heimischen Router und die Rückkehr zur aufwendigeren Konfiguration per Hand, die jedoch nicht jeder Benutzer beherrscht. Nicht bei allen Routern, die UPnP beherrschen, ist UPnP standardmäßig aktiviert, manche Modelle kommen aber im Auslieferungszustand mit aktiviertem UPnP daher. Das Abschalten von Flash im Browser wird vermutlich nicht helfen, da der Angriff prinzipiell auch über andere Webtechnologien möglich sein soll. In Kombination mit anderen Schwachstellen, wie etwa in der Routersoftware, dem Browser oder dem Betriebssystem, bietet UPnP durchaus Potenzial.

Auf das weniger verbreitete NAT-Port-Mapping-Protocol, das ähnlich wie UPnP funktioniert, geht der Artikel nicht ein. Auch hier können Anwendungen dem Router Anweisungen geben, um bestimmte Ports freizugeben. Ob sich Angriffe wie Änderungen des DNS-Servers auch hier durchführen lassen, bleibt bei NAT-PMP vorerst ungeklärt.

Weitere Fragen zu Angriffsmöglichkeiten beantwortet die Flash-UPnP-Attack-FAQ, die regelmäßig aktualisiert werden soll.

 UPnP-Router mit manipulierten Flash-Webseiten angreifbar
  1.  
  2. 1
  3. 2
Zu den Kommentaren springen
Meistgelesen
  1. Project Milestone
    Eindhoven lässt Häuser drucken
  2. Smarte Lautsprecher im Test
    JBL spielt Apples Homepod gleich doppelt an die Wand
  3. Spotify-Konkurrent
    Youtube Music startet Gratis-Musikstreaming in Deutschland
  4. Mars
    Die Staubstürme des roten Planeten
  5. IT-Jobs
    Fünf neue Mitarbeiter in fünf Wochen?
Anzeige
Hardware-Angebote
  1. bei Alternate kaufen
  2. und The Crew 2 gratis erhalten
  3. und 25€ Steam-Gutschein erhalten
  4. täglich neue Deals bei Alternate.de
Kommentarübersicht
Re: Mit GNU wär das nicht passiert (k.t.)
DrAgOnTuX 18. Mai 2010

Kluges Kind :-)

Re: Betriebssystem schuld
phill 23. Jul 2009

als flash entwickler sag ich das is nur der anfang und ja der schadcode kann auf ner...

Re: Das war ja klar.
Peek 15. Jan 2008

tjoa, Murphys Law. Flash deaktivieren oder auf freie flash plugins (gnash?) umsteigen...

Mit NoScript wär das nicht passiert
Martin F. 15. Jan 2008

Aber UPnP mit Authentifizierung wäre wirklich schön.

Re: Die Lösung
DrAgOnTuX 15. Jan 2008

Hab ich hier auch :) nen alten Compaq Deskpro P2 233MHz mit 64MB SD-RAM, zweiter...

Folgen Sie uns
       
Vampyr - Fazit

Vampyr überzeugt uns relativ schnell im Test. Nach einer Weile flacht die Blutsaugerei aber wegen langweiliger Gespräche und Probleme mit der Kameraführung ab.

Vampyr - Fazit Video aufrufen
Fairphone
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel

    Windows 10
    Windows 10: Der April-2018-Update-Scherz
    Windows 10
    Der April-2018-Update-Scherz

    Microsofts April-2018-Update für Windows 10 hat so viele Fehler, als würden drei Insider-Ringe nicht ausreichen. Das Unternehmen setzt seine Nutzer als Betatester ein und reagiert dann auch noch langsam auf Fehlermeldungen - das muss sich ändern.
    Ein IMHO von Oliver Nickel

    1. Gesperrter Lockscreen Cortana-Fehler ermöglicht Codeausführung
    2. Microsoft Weitere Umstrukturierungen rund um Windows 10
    3. April 2018 Update Windows-Patch macht Probleme bei Intel- und Toshiba-SSDs
    BMW
    BMW i3s im Test: Teure Rennpappe à la Karbonara
    BMW i3s im Test
    Teure Rennpappe à la Karbonara

    Mit dem neuen BMW i3s ist man zügig in der Stadt unterwegs. Zwar ist der Kleinwagen gut vernetzt, doch die Assistenzsysteme lassen immer noch zu wünschen übrig. Trotz des hohen Preises.
    Ein Praxistest von Friedhelm Greis

    1. R71-Seitenwagen BMW-Motorrad aus den 30er Jahren soll elektrifiziert werden
    2. SUV Concept iX3 zeigt BMWs elektrische Zukunft
    3. BMW Mini-Oldtimer mit E-Antrieb ausgerüstet
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /