Abo
  • Services:
Anzeige
Stefan Viehböck findet erneut Sicherheitslücke in Vodafone Routern.
Stefan Viehböck findet erneut Sicherheitslücke in Vodafone Routern. (Bild: SEC Consult)

Easybox Kritische Sicherheitslücke in Vodafone-Routern

Der österreichische Sicherheitsforscher Stefan Viehböck hat einmal mehr eine kritische Sicherheitslücke in DSL-WLAN-Routern von Vodafone entdeckt. Die WPS-PIN der Router lässt sich anhand ihrer MAC-Adresse errechnen.

Anzeige

Stefan Viehböck von der Firma SEC Consult Vulnerability Lab weist erneut auf eine kritische Sicherheitslücke in mehreren DSL-WLAN-Routern hin, die von Vodafone unter eigenem Namen angeboten werden. Die Easybox 802 und Easybox 803 genannten Geräte werden von Arcadyan/Astoria Networks hergestellt, aber von Vodafone unter seinem Namen vertrieben.

Die Router werden von Haus aus mit aktiviertem WLAN ausgeliefert, der Zugriff auf das verschlüsselte WLAN ist über eine WPS-PIN möglich, die auf die Rückseite der Geräte gedruckt ist. Der Algorithmus, mit dem diese WPS-PINs erzeugt werden, ist aber fehlerhaft, wie Viehböck herausfand. Dadurch lässt sich die WPSN-PIN anhand der MAC-Adresse (BSSID) und der Seriennummer des Geräts errechnen, wobei die Seriennummer von der MAC-Adresse abgeleitet ist.

Ein nicht am WLAN angemeldeter Angreifer, der sich in Reichweite des WLAN-Access-Points befindet, kann die BSSID anhand der 802.11-Beacon-Frames mitschneiden und daraus die WPS-PIN errechnen. Mit dieser PIN lassen sich dann die Konfiguration des WLAN-Routers samt WPA-Passwort abfragen oder verändern. So kann sich der Angreifer letztendlich mit dem WLAN-Router verbinden und Inhalte im lokalen Netz mitschneiden, Man-in-the-Middle-Angriffe durchführen oder Rechner im Internet über den Internetzugang des Router-Besitzers angreifen.

Viehböck hat Vodafone bereits Ende 2012 über die Sicherheitslücke samt Proof-of-Concept informiert und sie nun veröffentlicht. Laut Vodafone sind Easysbox-803-Modelle, die nach August 2011 verkauft wurden, von dem Problem nicht betroffen. Wer eines der betroffenen Geräte hat, sollte die WPS-PIN ändern oder WPS komplett abschalten, rät Viehböck.


eye home zur Startseite
aaron2222 18. Jan 2014

Hi, da ich gerade einen sehr billigen Router für Testaufbauten benötigt habe, habe ich...

alcarsharif 16. Aug 2013

Sie mache immerhin solche Videos bei Youtube. https://www.youtube.com/watch?v=pRdawdtz2PE

PatrickSchlegel 06. Aug 2013

An Eizi, Genau wegen der Kompatibilitaet ist diese Wifi Alliance ins leben gerufen...

AssKickA 06. Aug 2013

Er ist sicherlich nicht platt, sondern du bist vermutlich wie ich eine seltene Ausnahme...

Himmerlarschund... 06. Aug 2013

Und wenn die DB geleakt wird, dann hat jeder gleich ALLE Keys und muss sich dafür nicht...


spackblog / 05. Aug 2013



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. Sky Deutschland Fernsehen GmbH & Co. KG, Unterföhring bei München
  3. Rodenstock GmbH, München
  4. LEONI Bordnetz-Systeme GmbH, Kitzingen


Anzeige
Spiele-Angebote
  1. (-20%) 35,99€
  2. 9,99€

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Perfektionierung

    ML82 | 03:57

  2. Re: Datenschutz

    ve2000 | 02:30

  3. Re: Präzedenzfall überfällig

    HorkheimerAnders | 02:17

  4. Re: Wenn ich das jetzt recht verstanden habe...

    ve2000 | 02:01

  5. Fehlendes Alleinstellungsmerkmal kann positiv...

    Dadie | 01:49


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel