Wie unsere Schwesterpublikation, Computerwoche, berichtet, weist die auf Sicherheitsthemen spezialisierte amerikanische Beratungsfirma @stake.com auf mögliche Risiken beim Einsatz des Bluetooth-Zugangspunkts "1050AP" des Herstellers Red-M hin. Zwar sei die Bluetooth-Funkverbindung fehlerfrei, doch gebe es andere Schwachstellen, die @stake auf Designschwächen bei der Produktentwicklung zurückführt. Unter anderem bemängeln die Experten, dass nur wenig Möglichkeiten bestehen, das Passwort für den Zugang zur Web-basierten Administrationsoberfläche zu ändern. Außerdem sei es nicht möglich, den Zugriff auf den integrierten TFTP-Server (Trivial File Transfer Protocol) zu beschränken. So bestehe die Gefahr, dass ein Angreifer ein Tool installiert, um das Passwort automatisch herauszufinden. Ein weiterer Schwachpunkt betrifft den internen Webserver des 1050AP. Dieser unterscheidet nicht zwischen autorisierten und unautorisierten Hosts. Da das Passwort für den Webserver zudem über eine unverschlüsselte Verbindung übertragen wird, könne der Server deaktiviert werden. Red-M hat schriftlich zu den Vorwürfen Stellung bezogen. Die Angriffe seien lediglich über die Festnetzverbindung möglich, von der drahtlosen Seite bestehe keinerlei Gefahr. Einige der Probleme seien bereits im letzten Jahr durch ein Update der Firmware für das Gerät behoben worden. Im August folge ein weiteres, das die übrigen Schwächen ausräumen soll. (bw)
10.06.2002
Wie unsere Schwesterpublikation, Computerwoche, berichtet, weist die auf Sicherheitsthemen spezialisierte amerikanische Beratungsfirma @stake.com auf mögliche Risiken beim Einsatz des Bluetooth-Zugangspunkts "1050AP" des Herstellers Red-M hin. Zwar sei die Bluetooth-Funkverbindung fehlerfrei, doch gebe es andere Schwachstellen, die @stake auf Designschwächen bei der Produktentwicklung zurückführt. Unter anderem bemängeln die Experten, dass nur wenig Möglichkeiten bestehen, das Passwort für den Zugang zur Web-basierten Administrationsoberfläche zu ändern. Außerdem sei es nicht möglich, den Zugriff auf den integrierten TFTP-Server (Trivial File Transfer Protocol) zu beschränken. So bestehe die Gefahr, dass ein Angreifer ein Tool installiert, um das Passwort automatisch herauszufinden. Ein weiterer Schwachpunkt betrifft den internen Webserver des 1050AP. Dieser unterscheidet nicht zwischen autorisierten und unautorisierten Hosts. Da das Passwort für den Webserver zudem über eine unverschlüsselte Verbindung übertragen wird, könne der Server deaktiviert werden. Red-M hat schriftlich zu den Vorwürfen Stellung bezogen. Die Angriffe seien lediglich über die Festnetzverbindung möglich, von der drahtlosen Seite bestehe keinerlei Gefahr. Einige der Probleme seien bereits im letzten Jahr durch ein Update der Firmware für das Gerät behoben worden. Im August folge ein weiteres, das die übrigen Schwächen ausräumen soll. (bw)