Abo
  • IT-Karriere:

WLAN to Go: Telekom-Hotspots waren für Fremdsurfer anfällig

Beim Angebot WLAN to Go von der Deutschen Telekom und Fon konnten Angreifer die Anmeldung umgehen und so direkt über den Anschluss des eigentlichen Inhabers surfen. Die Telekom hat den Konfigurationsfehler mittlerweile behoben.

Artikel von veröffentlicht am
Die Einrichtung von Wlan to Go soll sehr einfach sein.
Die Einrichtung von Wlan to Go soll sehr einfach sein. (Bild: Telekom)

Bei der Konfiguration ihrer Hotspots hat die Deutsche Telekom einen Fehler gemacht, der unberechtigten Nutzern Zugang zum Internet verschaffen konnte. Dabei wurde auch die Geschwindigkeitsbegrenzung auf 16 Mbit/s aufgehoben. Das Problem ist mit einem Software-Update behoben worden, das seit dem gestrigen Dienstagnachmittag auf allen Hotspots verfügbar sein soll.

Inhalt:
  1. WLAN to Go: Telekom-Hotspots waren für Fremdsurfer anfällig
  2. Update ist ausgerollt

Der Fehler trat nach Angaben des Sicherheitsforschers Joel Höner auf, wenn Nutzer auf einem Speedport-Gerät der Telekom die Option WLAN-To-Go aktiviert hatten. Der Router spannt dann ein zweites, unverschlüsseltes WLAN auf, über das Nutzer des Programms und Telekom-Hotspot-Kunden Internetzugang bekommen können. Der Traffic wird in diesem Fall über einen Telekom-eigenen Proxy-Server abgewickelt, um die Inhaber des Internetanschlusses vor Abmahnungen und Ähnlichem zu schützen.

  • Umgehen der Landing-Page (Bild: Zyantific/Joel Höner).
  • Die Ausnahmeregelungen mittels Regular Expressions (Bild: Zyantific/Joel Höner).
Die Ausnahmeregelungen mittels Regular Expressions (Bild: Zyantific/Joel Höner).

Bei der Konfiguration machten die Techniker der Telekom aber offenbar einen Fehler. Wenn der Nutzer sich zuerst mit dem Hotspot verbindet, besteht kein Internetzugang, lediglich die Anmeldeseite der Telekom und eine Anzahl weiterer Seiten ist per Whitelist freigeschaltet. Dafür werden sogenannte Regular Expressions erstellt. Weil verschiedene Steuerzeichen nicht korrekt bereinigt wurden (Sanitization), hätten Angreifer eigene Server auf eine Whitelist setzen und damit den Login umgehen können.

Probleme mit Störerhaftung und Bandbreitenverlust

Für den Eigentümer des Hotspots könnte dies unangenehme Folgen haben, wenn ein so verbundener Nutzer illegale Dinge tut. Der Eigentümer könnte unter Umständen Abmahnungen oder Strafanzeigen bekommen, ohne jemals Kenntnis von der Sicherheitslücke gehabt zu haben.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Siltronic AG, Freiberg

Andere Nutzer, so wie Höner, konnten hingegen auch einen eigenen Proxy-Server nutzen. Nachdem der sich mit dem Internet verbunden hatte, stellte Höner zudem fest, dass die eigentlich festgelegte Maximalgeschwindigkeit von 16 Mbit/s nicht mehr galt. Die illegalen Nutzer des Netzwerkes hätten damit den offiziellen Nutzern Bandbreite wegnehmen können.

Update ist ausgerollt 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 529,00€ (zzgl. Versand)
  2. täglich neue Deals bei Alternate.de
  3. 135,00€ (Bestpreis!)
  4. mit Gutschein: NBBGRATISH10

ath 22. Feb 2017

In den A-Record dieser Domain konnte dann eine beliebige IP eingetragen werden, die nach...

Ovaron 22. Feb 2017

Das Forensystem hat leider den von Dir sicher beigefügten Link zur damaligen Diskussion...

M.P. 22. Feb 2017

Außer in Hamburg ...

Anonymer Nutzer 22. Feb 2017

Oh Gott, die Römischen Verträge? Die EWG (=Römische Verträge) war der Vorläufer der EG...


Folgen Sie uns
       


Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test

Die Geforce RTX 2070 Super und die Geforce RTX 2060 Super sind Nvidias neue Grafikkarten für 530 Euro sowie 420 Euro. Beide haben 8 GByte Videospeicher und unterstützen Raytracing in Spielen.

Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test Video aufrufen
Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

    •  /