Abo
  • Services:
Anzeige
Die Einrichtung von Wlan to Go soll sehr einfach sein.
Die Einrichtung von Wlan to Go soll sehr einfach sein. (Bild: Telekom)

WLAN to Go: Telekom-Hotspots waren für Fremdsurfer anfällig

Die Einrichtung von Wlan to Go soll sehr einfach sein.
Die Einrichtung von Wlan to Go soll sehr einfach sein. (Bild: Telekom)

Beim Angebot WLAN to Go von der Deutschen Telekom und Fon konnten Angreifer die Anmeldung umgehen und so direkt über den Anschluss des eigentlichen Inhabers surfen. Die Telekom hat den Konfigurationsfehler mittlerweile behoben.
Von Hauke Gierow

Bei der Konfiguration ihrer Hotspots hat die Deutsche Telekom einen Fehler gemacht, der unberechtigten Nutzern Zugang zum Internet verschaffen konnte. Dabei wurde auch die Geschwindigkeitsbegrenzung auf 16 Mbit/s aufgehoben. Das Problem ist mit einem Software-Update behoben worden, das seit dem gestrigen Dienstagnachmittag auf allen Hotspots verfügbar sein soll.

Anzeige

Der Fehler trat nach Angaben des Sicherheitsforschers Joel Höner auf, wenn Nutzer auf einem Speedport-Gerät der Telekom die Option WLAN-To-Go aktiviert hatten. Der Router spannt dann ein zweites, unverschlüsseltes WLAN auf, über das Nutzer des Programms und Telekom-Hotspot-Kunden Internetzugang bekommen können. Der Traffic wird in diesem Fall über einen Telekom-eigenen Proxy-Server abgewickelt, um die Inhaber des Internetanschlusses vor Abmahnungen und Ähnlichem zu schützen.

  • Umgehen der Landing-Page (Bild: Zyantific/Joel Höner).
  • Die Ausnahmeregelungen mittels Regular Expressions (Bild: Zyantific/Joel Höner).
Die Ausnahmeregelungen mittels Regular Expressions (Bild: Zyantific/Joel Höner).

Bei der Konfiguration machten die Techniker der Telekom aber offenbar einen Fehler. Wenn der Nutzer sich zuerst mit dem Hotspot verbindet, besteht kein Internetzugang, lediglich die Anmeldeseite der Telekom und eine Anzahl weiterer Seiten ist per Whitelist freigeschaltet. Dafür werden sogenannte Regular Expressions erstellt. Weil verschiedene Steuerzeichen nicht korrekt bereinigt wurden (Sanitization), hätten Angreifer eigene Server auf eine Whitelist setzen und damit den Login umgehen können.

Probleme mit Störerhaftung und Bandbreitenverlust

Für den Eigentümer des Hotspots könnte dies unangenehme Folgen haben, wenn ein so verbundener Nutzer illegale Dinge tut. Der Eigentümer könnte unter Umständen Abmahnungen oder Strafanzeigen bekommen, ohne jemals Kenntnis von der Sicherheitslücke gehabt zu haben.

Andere Nutzer, so wie Höner, konnten hingegen auch einen eigenen Proxy-Server nutzen. Nachdem der sich mit dem Internet verbunden hatte, stellte Höner zudem fest, dass die eigentlich festgelegte Maximalgeschwindigkeit von 16 Mbit/s nicht mehr galt. Die illegalen Nutzer des Netzwerkes hätten damit den offiziellen Nutzern Bandbreite wegnehmen können.

Update ist ausgerollt 

eye home zur Startseite
ath 22. Feb 2017

In den A-Record dieser Domain konnte dann eine beliebige IP eingetragen werden, die nach...

Ovaron 22. Feb 2017

Das Forensystem hat leider den von Dir sicher beigefügten Link zur damaligen Diskussion...

M.P. 22. Feb 2017

Außer in Hamburg ...

Anonymer Nutzer 22. Feb 2017

Oh Gott, die Römischen Verträge? Die EWG (=Römische Verträge) war der Vorläufer der EG...



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, Hannover, München, Eschborn (Frankfurt am Main)
  2. endica GmbH, Karlsruhe
  3. Zühlke Engineering GmbH, Eschborn bei Frankfurt am Main
  4. Wüstenrot & Württembergische AG, Stuttgart


Anzeige
Hardware-Angebote
  1. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)
  2. 288,62€
  3. (täglich neue Deals)

Folgen Sie uns
       


  1. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  2. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  3. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  4. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  5. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  6. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  7. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  8. SteamVR

    Valve zeigt Knuckles-Controller

  9. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  10. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

  1. Re: CCC verwechselt Internet mit Mobilfunknetz?

    DerDy | 12:34

  2. Re: So langsam wird es was werden mit den...

    bombinho | 12:33

  3. Re: Illegale Nachfrage nimmt ab

    Koto | 12:33

  4. Bitkom echt jetzt?

    Koto | 12:31

  5. Evolution schönt die Verkaufszahlen

    elitezocker | 12:30


  1. 12:14

  2. 11:43

  3. 10:51

  4. 09:01

  5. 17:40

  6. 16:22

  7. 15:30

  8. 14:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel