Abo
  • Services:

Vodafone Easybox 804: Angeblich Hochladen von Schadsoftware möglich

Auf den Standard-WLAN-Router von Vodafone könne wegen eines Softwarefehlers eine fremde Firmware hochgeladen werden, behauptet eine IT-Firma. Vodafone bestreitet das und verweist auf die schützende Signaturprüfung.

Artikel veröffentlicht am ,
Vodafones Easybox 804 wird in Deutschland als Standardrouter ausgeliefert.
Vodafones Easybox 804 wird in Deutschland als Standardrouter ausgeliefert. (Bild: Vodafone/geändert)

Der in Deutschland weit verbreitete WLAN-Router Easybox 804 von Vodafone soll durch eine Sicherheitslücke angreifbar sein. Angaben der deutschen IT-Firma Prosec Networks zufolge lässt sich durch einfaches Zurücksetzen des Passworts ein Factory Reset provozieren. Der Reset deaktiviert demnach fälschlicherweise gleichzeitig die Authentifizierung der Firmwareupdate-Funktion. Vodafone hat das nach eigenen Angaben überprüft und ist zu anderen Ergebnissen gekommen.

Vollständige Übernahme des Routers?

Stellenmarkt
  1. Deloitte, verschiedene Einsatzorte
  2. ABB AG, Ladenburg

Dieser Fehler ermögliche es einem Angreifer im lokalen Netzwerk, "eine modifizierte, schadhafte Firmware hochzuladen und die gesamte Box zu kompromittieren", sagte der Geschäftsführer von Prosec, Tim Schughart, Golem.de. Auf diese Weise könne man unter anderem SSH-Ports freischalten und den gesamten Datenverkehr mitlesen.

Im Fall der Easybox 804 wäre es sogar besonders leicht, eine modifizierte Firmware zu erstellen. Vodafone hat deren Quellcode unter der GPL lizenziert und stellt ihn Interessierten auf Anfrage zur Verfügung. Was Programmierer und Bastler grundsätzlich freuen dürfte, könnte sich für Vodafone hier vielleicht zum Nachteil auswirken.

Vodafone äußerte sich nach Veröffentlichung unseres ursprünglichen Artikels und bestreitet die Existenz der Lücke: "Unsere Security und Technik haben die vermeintlichen Schwachstellen [...] geprüft. Das Ergebnis: Die in den Hinweisen der Firma Prosec [...] kolportierten Schwachstellen sind nicht zutreffend", sagte eine Sprecherin. Dies hätten erneut erfolgte Tests von Vodafone und des Herstellers Cisco bestätigt sowie Prüfberichte, "die Vodafone vor der Einführung der Box in Auftrag gegeben hatte."

Aussage gegen Aussage

Prosec Networks besteht dennoch auf der Korrektheit seiner Tests. Das Hochladen einer potenziell schadhaften Firmware sei ohne Passworteingabe erfolgreich getestet worden. Ein von Prosec Networks angefertigtes Video zeigt, dass der Angreifer dabei entweder per LAN verbunden sein oder aber das Standard-WLAN-Passwort des Routers kennen muss, auf das die Easybox nach dem Factory Reset zurück gesetzt wird. Vodafone dagegen unterstreicht, der WPA-Schlüssel sei "komplex" und würde "für jedes Gerät individuell zufällig generiert".

Betroffen sind laut Prosec Networks alle Versionen des Modells Easybox 804, die in Deutschland standardmäßig an Vodafone-Kunden ausgeliefert werden. Auch die neueste Firmware-Version 01.05 vom 20. Oktober 2015 enthalte den Fehler. Prosec Networks habe nun bei Vodafone den Quellcode der Original-Firmware beantragt, um weitere Tests durchführen zu können.

Nachtrag vom 20. Juli 2016, 15:36 Uhr

Ursprünglich hatten wir basierend auf den Informationen von Prosec berichtet, es gebe zwei Sicherheitslücken im WLAN-Router Easybox 804 von Vodafone. Eine detaillierte Stellungnahme von Vodafone lag uns zu dem Zeitpunkt noch nicht vor. Mittlerweile spricht Prosec Networks nur noch von einer Lücke. Das Unternehmen hat eingeräumt, dass die ursprünglich behauptete mögliche Installation einer fremden Firmware nicht getestet wurde, diese werde - wie Vodafone bestätigt - durch eine Signaturprüfung verhindert. Lediglich der Upload fremder Firmware wurde laut Prosec Networks erfolgreich getestet. Vodafone hat sich inzwischen auch dazu geäußert. Dem Unternehmen zufolge gibt es keine der beiden Sicherheitslücken. Wir haben den Artikel entsprechend angepasst und die neuen Statements hinzugefügt.



Anzeige
Top-Angebote
  1. 61,60€ (Bestpreis!)
  2. (Abzug erfolgt im Warenkorb)
  3. (Abzug erfolgt im Warenkorb)
  4. 99,99€ + USK-18-Versand

Kabbone 21. Jul 2016

Mag sein, aber deswegen ist es per se nicht korrekt, dass allgemein das Wlan Passwort...

AlexanderSchäfer 19. Jul 2016

Wie soll denn ein Angreifer Zugriff auf das lokale Netz bekommen? Sein WLAN-Passwort...

strik0r 19. Jul 2016

Ich hatte die Box selbst für 1 Woche im Einsatz. Das Ding ist mega scheisse. Der...

Red-Bull 19. Jul 2016

Dann kann man es ja super einfach dafür bereitstellen oder? :)


Folgen Sie uns
       


BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /