Anschlussmissbrauch durch schwerwiegende Lücke bei o2

Seit über einem Jahr versucht o2 eine Schwachstelle im DSL-Netz zu schließen, durch die man fremde VoIP-Anschlüsse kapern kann. Bisher ist das nur zum Teil gelungen.

In Pocket speichern vorlesen Druckansicht 208 Kommentare lesen
o2-Lücke
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Eine Schwachstelle im DSL-Netz von o2 erlaubt es Angreifern, die Telefonanschlüsse der Kunden zu kapern und etwa teure Auslandstelefonate zu führen. Dies berichtet c't in der aktuellen Ausgabe 2/16. Die Schwachstelle ist o2 bereits seit Herbst 2014 bekannt, vollständig in den Griff bekommen hat sie der Provider allerdings bis heute nicht.

Der Aachener Sicherheitsforscher Hanno Heinrichs hat die Lücke zufällig entdeckt: Er suchte einen Weg, die VoIP-Zugangsdaten seines o2-Anschlusses herauszufinden, die der Provider nicht an seine Kunden herausgibt. o2 verteilt diese Daten über das Konfigurations-Protokoll TR-069 an die Router. Heinrichs analysierte den Datenaustausch und entwickelte schließlich einen rudimentären TR-069-Client, der die Zugangsdaten beim sogenannten "Auto Configuration Server“ (ACS) des Providers abholte und im Klartext darstellte. Ihm fiel bei seiner Arbeit auf, dass der Router initial die externe IP-Adresse des Kunden an den ACS überträgt – das ist eigentlich unnötig, schließlich kennt der Server die Absender-IP ohnehin.

Auch Heinrichs Client übertrug die IP an o2. Als der Forscher einmal vergaß, die vom Client übertragene IP nach einer Zwangstrennung anzupassen, erhielt der Client vom ACS die VoIP-Zugangsdaten eines anderen Kunden, dem die eingestellte IP offenbar inzwischen zugeteilt wurde. Heinrichs setzte anschließend die IP eines eingeweihten Bekannten ein, der ebenfalls bei o2 ist und erhielt prompt dessen Zugangsdaten. Heinrichs konnte mit den Daten problemlos auf Rechnung seines Bekannten telefonieren. Um das Problem verifizieren zu lassen, wandte er sich an c't. Uns gelang es auf Anhieb, mehrere Testanschlüsse zu übernehmen.

Nachdem das ganze Ausmaß des Problems klar geworden war, informierte der Forscher im Oktober 2014 den Provider o2. Das Unternehmen versprach, die Lücke zu schließen und bat darum, mit der Veröffentlichung der Informationen zu warten. Tatsächlich war es schon am gleichen Tag nicht mehr möglich, die Zugangsdaten fremder Anschlüsse anzurufen. Ein Teilaspekt bekam das Unternehmen allerdings bis heute nicht in den Griff: Über TR-069 ist es im lokalen Netz des Kunden nach wie vor möglich, die VoIP-Zugangsdaten abzurufen. Ein Schädling oder ein böswilliger Nutzer könnte sich also Zugriff auf Daten verschaffen und den Telefonanschluss an einem anderen Ort einrichten.

Im Dezember 2015 baten wir die O2-Mutter Telefónica um eine Stellungnahme zu den Ereignissen – also über ein Jahr, nachdem das Unternehmen über das Sicherheitsproblem informiert wurde. Einige Tage später meldete sich das Unternehmen mit der Bitte, die Veröffentlichung um mehrere Monate zu verschieben. Das Unternehmen erklärte, dass einige Hunderttausende Anschlüsse im DSL-Netz von O2 aus der Ferne angreifbar waren – nämlich jene mit VoIP-Telefonie. Ein Missbrauch der Lücke habe bislang nicht stattgefunden, was durch ein "verschärftes“ Monitoring" sichergestellt werden konnte. Der verbleibende Angriffsvektor im lokalen Netz soll im ersten Quartal 2016 eliminiert werden.

Weitere Details finden Sie in der aktuellen c't 2/16, die am heutigen Freitag bei den Abonnenten im Briefkasten liegt und ab Samstag am Kiosk erhältlich ist.

  • c't 2/16, Seite 24: Anschlussübernahme, Kritische Sicherheitslücke beim Provider O2

(rei)