Abo
  • IT-Karriere:

Kabel Deutschland: App überträgt Zugangsdaten unverschlüsselt

Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke. Damit kann der Online-Zugang von Kunden gekapert werden.

Artikel veröffentlicht am ,
Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke.
Die Programm-Manager-App von Kabel Deutschland hat eine schwere Sicherheitslücke. (Bild: itunes.apple.com/Screenshot: Golem.de)

Die Programm-Manager-App von Kabel Deutschland ist bei den Nutzern nicht gerade beliebt. "Schleppend, nervig", "wirklich nützlich?", "stürzt dauernd ab" lauten die Kommentare in Apples App Store. Nun kommt noch ein schweres Sicherheitsleck hinzu, wie Heise Security berichtete. Die Zugangsdaten würden beim Einloggen im Klartext übertragen. Ein Angreifer könne sie ohne Problem mitschneiden und damit den Kabel-Deutschland-Anschluss des App-Nutzers manipulieren.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. operational services GmbH & Co. KG, Frankfurt am Main

Kabel Deutschland bestätigte auf Anfrage von Golem.de das Datenleck. "Das dargestellte Problem existiert in der Tat. Kabel Deutschland bereitet daher derzeit die Aktivierung der Verschlüsselung der Kommunikation zwischen App und Server vor", sagte Sprecher Maurice Böhler. Die Verschlüsselung werde Mitte September realisiert. "Ein tagesgenaues Datum für ein darüber hinaus gehendes Update der App können wir leider nicht nennen, da wir hier unter anderem von den Freigabeprozessen der App Stores abhängen", sagte Böhler weiter.

Die Zugangsdaten könnten laut Heise beispielsweise mitgeschnitten werden, wenn sich der Kunde an einem öffentlichen Hotspot anmeldet. Zwar lasse sich mit der App selbst nur der digitale TV-Rekorder programmieren, doch könne man sich mit den Zugangsdaten auch in den Kundenbereich von Kabel Deutschland einloggen. Dort könnte ein Angreifer auf verschiedene Weise Schaden anrichten: Er könnte beispielsweise kostenpflichtige Angebote buchen, auf E-Mail-Konto und Cloud-Speicher des Opfers zugreifen und Rufumleitungen anlegen. Letzteres nutzten Kriminelle bereits bei einem Sicherheitsleck der Fritzbox aus.

Der Consultant Peter Hämmerlein hatte das Sicherheitsproblem dem Bericht zufolge bereits Anfang des Jahres entdeckt und daraufhin Kabel Deutschland informiert. Darauf habe er jedoch keine Reaktion erhalten.

Nachtrag vom 5. September 2014, 11:35 Uhr

Kabel Deutschland hat nach eigenen Angaben inzwischen eine permanente Umleitung auf Https eingeführt, so dass die Kommunikation nach dem Verbindungsaufbau jederzeit verschlüsselt erfolge und Login-Daten verschlüsselt übertragen würden. Damit die Änderung bei allen Benutzern greife, solle ein Neustart des Geräts zur Sicherheit durchgeführt werden. Aktualisierte Versionen der iOS- und Android-Apps sollen voraussichtlich Mitte September in den Appstores verfügbar sein.



Anzeige
Spiele-Angebote
  1. 1,12€
  2. 2,99€
  3. 1,72€
  4. 4,19€

Casandro 03. Sep 2014

Naja, Kabel Deutschland macht so oder so komische Sachen mit den Daten. Deshalb sollte...

baresa 02. Sep 2014

Nun es ist doch ein Fakt, dass KDG den gleichen Fehler mit ihren Hitron Routern macht wie...

Xultra 02. Sep 2014

Quatsch , Den gibt' s nicht wirklich. Halt , ,.... alles gelöscht. Du meinst es...


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

    •  /