In der "Technischen Warnung TW-T13/0053" warnt das Bürger-Cert, ein Projekt des Bundesamt für Sicherheit in der Informationstechnik (BSI), vor einer Schwachstelle in der WLAN-Konfiguration etlicher DSL-Router von Vodafone. Betroffen sind laut der Meldung die Modelle Easybox 802 und Easybox 803 (mit Produktionsdatum vor August 2011). Die betroffen Geräte hätten einen Fehler im Wifi Protected Setup (WPS).
WPS soll eigentlich für die Anwender das Hinzufügen von Geräten in ein bestehendes Netz vereinfachen. Per Knopfdruck oder durch Eingabe einer PIN können neue Devices hinzugefügt werden. Die eigentliche Verschlüsselung handeln die Geräte dann automatisch aus. Doch gerade der verwendete PIN soll bei den beanstandeten Vodafone-Modellen, die von Arcadyan/Astoria Networks hergestellt werden, einen Design-Fehler haben. Der WPS-PIN, den die Geräte generieren, basiert auf einem Algorithmus, der in anhand der der MAC-Adresse sowie der Seriennummer des Devices errechnet. Der Haken an der Sache: Die Seriennummer kann wiederum von der MAC-Adresse abgeleitet werden. Ein entfernter Angreifer hat, so das BSI, mit Kenntnis der MAC-Adresse (per WLAN ohne weitere Authentisierung auslesbar) bei den betroffenen Routern im Auslieferungszustand die Möglichkeit, die standardmäßig eingestellte WPS-PIN sowie das Passwort der WLAN-Verschlüsselung zu ermitteln und somit per WLAN Zugriff auf das interne Netz zu erlangen. Dies erlaubt unter anderem das Ausspähen von Informationen und die missbräuchliche Nutzung der Internetverbindung.
Das BSI rät deshalb betroffenen Anwendern:
-
den WPS-PIN zu ändern,
-
WPS zu deaktivieren und
-
Das Passwort für die WLAN-Verschlüsselung zu ändern.
Den Fehler hatte Stefan Viehböck vom SEC Consult Vulnerability Lab im Dezember 2012 entdeckt und Vodafone inklusive eines Proof of Concept mitgeteilt. Nachdem Vodafone nicht entsprechend reagierte kontaktierte Viehböck das BSI gegen Ende Mai 2013, um weiter Schritte zu besprechen. Dieses sah sich nun zu der Veröffentlichung einer entsprechenden Warnmeldung veranlasst.