VoIP-Telefonie

Nfon sieht sich nicht von YeaLink-Lücke betroffen



Andreas Th. Fischer ist freier Journalist in München. Er verfügt über langjährige Erfahrung als Redakteur in verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security, Netzwerke und Virtualisierung.
Eine Schwachstelle im Autoprovisionierungsprozess von YeaLink sorgt für Unruhe. Aufgrund eines neuen 2FA-Verfahrens sieht sich Nfon nicht betroffen.

Der hessische Sicherheitsanbieter VTRUST ist laut einem Bericht von Heise.de auf eine Sicherheitslücke im Autoprovisioinierungsverfahren des chinesischen VoIP-Telefonherstellers YeaLink gestoßen. Die Schwachstelle soll sich aus der Ferne ausnutzen lassen. So könnte darüber auf "Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten" zugegriffen werden, schreibt Heise. In Deutschland gebe es mehr als 20 VoIP-Provider, die Produkte von YeaLink anbieten oder unterstützen.

"Die seit 30. Januar 2020 von NFON eingeführte Zwei-Faktor-Authentifizierung für Endgeräte schließt die Lücke." Jan-Peter Koopmann, CTO bei Nfon
"Die seit 30. Januar 2020 von NFON eingeführte Zwei-Faktor-Authentifizierung für Endgeräte schließt die Lücke." Jan-Peter Koopmann, CTO bei Nfon
Foto: Nfon

Eines dieser Unternehmen ist der Münchner Cloud-PBX-Anbieter Nfon, der mit einem Statement reagierte. Man habe die YeaLink-Telefone im Portfolio und könne die beschriebene Lücke bestätigen. Eine Ende des vergangenen Monats eingeführte Zwei-Faktor-Authentifizierung (2FA) sei jedoch in der Lage, sie zu schließen. "Wir führen regelmäßig Audits unserer Plattform durch und arbeiten kontinuierlich an der weiteren Verbesserung", ergänzt Jan-Peter Koopmann, Chief Technology Officer bei Nfon.

Aufgrund eigener Analysen habe man beschlossen, "die Authentifizierung von Endgeräten weiter zu entwickeln, um unseren höchsten Ansprüchen auch in Zukunft zu genügen und für unsere Kunden die höchstmögliche Sicherheit zu garantieren". Bei der Inbetriebnahme neuer Telefone ist nach seinen Angaben nun eine einmalige Eingabe einer sogenannten Phone Authentication PIN (PAP) notwendig.

Ein mit der Nfon-Plattform verbundenes Endgerät muss deswegen neben der automatischen Überprüfung etwaiger Zertifikate zusätzlich mit einem sechsstelligen PAP-Code autorisiert werden. Man habe das Verfahren aber bewusst so konzipiert, dass "der gewohnte Komfort der Nfon-Autoprovisionierung kaum eingeschränkt wird", sagt Koopmann. Man sei so überzeugt von dem Verfahren, dass es sogar zum Patent angemeldet wurde. Vor wenigen Wochen erst hatte Nfon den Software-Anbieter Onwerk übernommen.

Zur Startseite