App von Kabel Deutschland mit Datenleck
Im "Programm-Manager" klafft ein schwerwiegendes Datenleck, durch das Schnüffer die Kontrolle über den Kabel-Deutschland-Anschluss übernehmen können. Bis das Problem beseitigt ist, sollte man besser von der Nutzung absehen.
- Ronald Eikenberg
Die von Kabel Deutschland angebotene Programm-Manager-App für Android und iOS überträgt die Zugangsdaten ihrer Nutzer unter anderem beim Einloggen im Klartext. Das ist grob fahrlässig – ein Angreifer kann sie mühelos mitschneiden und damit den Kabel-Deutschland-Anschluss des App-Nutzers manipulieren.
Ungeschützte Übertragung von Zugangsdaten
Statt Nutzername und Passwort verschlüsselt über HTTPS an Kabel Deutschland zu schicken, gehen sie im Klartext durch die Leitung.
Will ein Angreifer die Daten mitschneiden, muss er nicht mal das gleiche Netz benutzen: Ist sein Opfer an einem öffentlichen Hotspot angemeldet, genügt es in der Regel, in Funkreichweite passiv die unverschlüsselten WLAN-Pakete mitzuschneiden.
Fremdgesteuerte Anschlüsse
Mit der App kann man zwar nur den digitalen TV-Rekorder programmieren, mit den Zugangsdaten kann man sich allerdings auch in den Kundenbereich von Kabel Deutschland einbuchen. Ein Angreifer kann dort allerhand Unheil anrichten: etwa kostenpflichtige Angebote buchen, auf E-Mail-Konto und Cloud-Speicher des Opfers zugreifen und sogar Rufumleitungen anlegen.
Gerade Letzteres ist eine gängige Masche von Betrügern: Sie legen bei ihren Opfern eine Rufumleitung auf eine Premium-Rufnummer an und rufen dann die Festnetznummer des Opfers an. Die Kosten für die teure Umleitung landen auf der Rechnung des Anschlussinhabers.
Sicherheits-Update in Vorbereitung
Der Consultant Peter Hämmerlein hatte das Sicherheitsproblem bereits Anfang des Jahres entdeckt und daraufhin Kabel Deutschland informiert. Weil er darauf keine Reaktion erhielt, wandte er sich schließlich an heise Security.
Wir konnten das Problem auf Anhieb verifizieren und informierten den Provider erneut. Das Unternehmen erklärte, dass der Sachverhalt bekannt sei: "Kabel Deutschland bereitet daher derzeit die Aktivierung der Verschlüsselung der Kommunikation zwischen App und Server vor", erklärte ein Unternehmenssprecher gegenüber heise Security.
"Die Umstellung der Komponenten bei Kabel Deutschland zur Aktivierung der Verschlüsselung" soll Mitte September erfolgen, auf ein genaues Datum konnte sich der Sprecher jedoch nicht festlegen. Bis es soweit ist, sollte man besser von der Nutzung der App absehen. Wer sie in der Vergangenheit bereits im Einsatz hatte – insbesondere in öffentlichen Netzen – sollte sein Kundenpasswort ändern. Kabel Deutschland bietet die App bereits seit mehreren Jahren an. (rei)
