O2-Router verwundbar, jetzt WLAN-Passwort ändern!

In den von o2 (und ehemals Alice) eingesetzten Standard-Routern 6431, 4421 und 1421 klafft ein Sicherheitsleck: Der voreingestellte WPA2-Key wurde nach einem unsicheren Verfahren generiert und lässt sich daher mit überschaubarem Zeitaufwand knacken.

Der Reverse-Engineering-Spezialist Hanno Heinrichs hat während der Analyse der Router-Firmware festgestellt, dass der Algorithmus, der den Standard-Key bestimmt, nicht sicher genug ist. Anhand öffentlicher Informationen, die jeder in Funkreichweite mitbekommt, lässt sich die Anzahl der möglichen Keys erheblich reduzieren. Wer es darauf anlegt, kann den WPA2-Key daher innerhalb von Minuten knacken. Der Angreifer befindet sich anschließend im Heimnetz und kann zum Beispiel den Datenverkehr aller Teilnehmer abgreifen und manipulieren.

heise Security liegen sämtliche Details zur bislang nicht öffentlich dokumentierten Schwachstelle vor. Wir konnten das Problem reproduzieren und haben den O2-Mutterkonzern Telefónica eingeschaltet. Daraufhin hat das Unternehmen am Dienstagmittag damit begonnen, sämtliche potenziell Betroffenen zu informieren – ungefähr eine halbe Million Kunden ("mittlerer sechsstelliger Bereich"). Sie werden etappenweise entweder per Mail oder Brief benachrichtigt.

Die Attacke funktioniert nur, wenn der WPA2-Key vom Kunden nicht geändert wurde. Dabei ist die Versuchung, den voreingestellten WPA2-Key dauerhaft zu benutzen, durchaus groß, schließlich ist er auf der Unterseite des Routers aufgedruckt. Wer eines der betroffenen Router-Modelle betreibt, sollte umgehend den vorgegebenen WPA2-Key (auch als WLAN-Passwort bekannt) ändern, sofern nicht bereits geschehen.

O2 hat eine Informationsseite eingerichtet, auf der sich unter anderem auch eine eigens eingerichtet Hotline-Nummer befindet, über die Kunden bei Bedarf beim Wechsel des WPA2-Keys unterstützt werden. Darüber hinaus arbeitet das Unternehmen an einer neuen Firmware, welche die Kunden im Web-Interface zum Schlüsselwechsel auffordern soll. Laut O2 soll das Router-Modell 6431 außerdem künftig mit einem WPA2-Schlüssel ausgeliefert werden, der nach dem Zufallsprinzip generiert wird und somit nicht zu berechnen ist. Die Modelle 1421 und 4421 werden nicht weiter hergestellt.

Produziert wurden die verwundbaren Geräte von dem OEM-Hersteller Arcadyan, der bereits mehrfach durch Router-Modelle aufgefallen ist, bei denen die voreingestellten WPA(2)-Schlüssel unsicher sind. Diese wurden bisher etwa von der Telekom und Vodafone eingesetzt.

Update vom 19.3., 10:30: Offenbar kursieren die Details über die eingesetzten Algorithmen bereits seit einiger Zeit im Netz. Sie stammen aus einer anderen, unabhängigen Analyse. Wer einen betroffenen Router betreibt, sollte daher umgehend handeln. (rei)