Kabel Deutschland: App überträgt Zugangsdaten unverschlüsselt

Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke. Damit kann der Online-Zugang von Kunden gekapert werden.

Artikel veröffentlicht am ,
Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke.
Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke. (Bild: itunes.apple.com/Screenshot: Golem.de)

Die Programm-Manager-App von Kabel Deutschland ist bei den Nutzern nicht gerade beliebt. "Schleppend, nervig", "wirklich nützlich?", "stürzt dauernd ab" lauten die Kommentare in Apples App Store. Nun kommt noch ein schweres Sicherheitsleck hinzu, wie Heise Security berichtete. Die Zugangsdaten würden beim Einloggen im Klartext übertragen. Ein Angreifer könne sie ohne Problem mitschneiden und damit den Kabel-Deutschland-Anschluss des App-Nutzers manipulieren.

Stellenmarkt
  1. Program Manager (m/w/d)
    Fidor Bank AG, München
  2. IT-Mitarbeiter*in mit Schwerpunkt Betrieb / Support von Arbeitsplatz-Komponenten
    Deutsche Bundesbank, Stuttgart
Detailsuche

Kabel Deutschland bestätigte auf Anfrage von Golem.de das Datenleck. "Das dargestellte Problem existiert in der Tat. Kabel Deutschland bereitet daher derzeit die Aktivierung der Verschlüsselung der Kommunikation zwischen App und Server vor", sagte Sprecher Maurice Böhler. Die Verschlüsselung werde Mitte September realisiert. "Ein tagesgenaues Datum für ein darüber hinaus gehendes Update der App können wir leider nicht nennen, da wir hier unter anderem von den Freigabeprozessen der App Stores abhängen", sagte Böhler weiter.

Die Zugangsdaten könnten laut Heise beispielsweise mitgeschnitten werden, wenn sich der Kunde an einem öffentlichen Hotspot anmeldet. Zwar lasse sich mit der App selbst nur der digitale TV-Rekorder programmieren, doch könne man sich mit den Zugangsdaten auch in den Kundenbereich von Kabel Deutschland einloggen. Dort könnte ein Angreifer auf verschiedene Weise Schaden anrichten: Er könnte beispielsweise kostenpflichtige Angebote buchen, auf E-Mail-Konto und Cloud-Speicher des Opfers zugreifen und Rufumleitungen anlegen. Letzteres nutzten Kriminelle bereits bei einem Sicherheitsleck der Fritzbox aus.

Der Consultant Peter Hämmerlein hatte das Sicherheitsproblem dem Bericht zufolge bereits Anfang des Jahres entdeckt und daraufhin Kabel Deutschland informiert. Darauf habe er jedoch keine Reaktion erhalten.

Nachtrag vom 5. September 2014, 11:35 Uhr

Golem Karrierewelt
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
  2. Masterclass Data Science mit Pandas & Python: virtueller Zwei-Tage-Workshop
    29./30.09.2022, Virtuell
Weitere IT-Trainings

Kabel Deutschland hat nach eigenen Angaben inzwischen eine permanente Umleitung auf Https eingeführt, so dass die Kommunikation nach dem Verbindungsaufbau jederzeit verschlüsselt erfolge und Login-Daten verschlüsselt übertragen würden. Damit die Änderung bei allen Benutzern greife, solle ein Neustart des Geräts zur Sicherheit durchgeführt werden. Aktualisierte Versionen der iOS- und Android-Apps sollen voraussichtlich Mitte September in den Appstores verfügbar sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Casandro 03. Sep 2014

Naja, Kabel Deutschland macht so oder so komische Sachen mit den Daten. Deshalb sollte...

baresa 02. Sep 2014

Nun es ist doch ein Fakt, dass KDG den gleichen Fehler mit ihren Hitron Routern macht wie...

Xultra 02. Sep 2014

Quatsch , Den gibt' s nicht wirklich. Halt , ,.... alles gelöscht. Du meinst es...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /