Mail hackt Router
Wenn man bestimmte Router von Arcor, Asus und TP-Link einsetzt, kann schon das Öffnen einer E-Mail weitreichende Konsequenzen haben.
- Ronald Eikenberg
Eine ganze Reihe von Routern von Arcor, Asus und TP-Link sind anfällig für eine ungewollte Fernkonfiguration. Der Sicherheitsforscher Bogdan Calin demonstriert in seinem Blog eindrucksvoll, dass im Netz der Router schon das Anzeigen einer Mail weitreichende Konsequenzen haben kann: Seine speziell präparierte Testmail konfiguriert beim Öffnen den WLAN-Router so um, dass der Internet-Datenverkehr umgeleitet wird. Ein Angreifer könnte den Nutzer so etwa unbemerkt beim Aufruf von Facebook.com auf eine Phishing-Version der Seite locken, um die Zugangsdaten abzugreifen.
Der Angriff läuft über Cross-Site Request Forgery (CSRF). In die HTML-Testmail hat Calin Bilder eingebettet, deren Quell-URL (src=
) auf die Standard-IP des Routers zeigt (oft 192.168.1.1). Die URL enthält Parameter, die das Webinterface des Routers anweisen, den eingestellten DNS-Server zu ändern. Die URL enthält auch das Admin-Passwort für das Webinterface, weshalb der Angriff nur dann funktioniert, wenn der Nutzer das voreingestellte Passwort noch nicht geändert hat. Eine vollständige CSRF-URL könnte etwa so aussehen: http://admin:passwort@192.168.1.1/start_apply.htm?dnsserver=66.66.66.66
Beim Anzeigen der Mail versucht der Mailclient unter dieser URL das eingebettete Bild abzurufen. Für den Router sieht es allerdings so aus, als wollte der Nutzer einen anderen DNS-Server einstellen. Nach dieser Änderung laufen alle DNS-Abfragen über den eingestellten DNS-Server, der sich unter der Kontrolle des Angreifers befindet. Der Versender der Mail kann künftig frei bestimmen, auf welchen Webservern der Nutzer landet.
Die Testmails hat der Sicherheitsforscher mit den den Standardclients von iOS und Mac OS X geöffnet, die Bilder in HTML-Mails ungefragt nachladen. Unter iOS kann man in den Einstellungen unter "Mails, Kontakte, Kalender" über den Schalter "Entfernte Bilder laden" abstellen. Laut Calin lädt auch Gmaill Bilder nach, wenn der Nutzer einmalig auf eine Mail geantwortet hat. Man kann nicht ausschließen, dass weitere Mail-Clients ungefragt Bilder nachladen.
Laut Calin gelingt der Angriff bei den Asus-Routern RT-N16 und Asus RT-N56U, TP-Link-Routen wie dem TL-WR841N und der Arcor EasyBox A600. Vermutlich sind noch einige weitere Modelle verwundbar; immer wieder werden CSRF-Lücken in Routern bekannt. Vor der Router-Kompromittierung kann man sich schützen, indem man ein individuelles Router-Passwort einstellt – das gilt für dieses, aber auch einige weitere Angriffsszenarien.
Mit Tools wie dem OWASP CSRFTester kann man solche Lücken in Web-Anwendungen und Web-Oberflächen netzwerkfähigen Geräten gezielt aufspüren. CSRF funktioniert nicht nur über HTML-Mails, sondern ebenso gut über speziell präparierte Webseiten, wie ein Fall aus Brasilien zeigt: Hier wurden laut Kaspersky Lab dadurch 4,5 Millionen Router manipuliert. (rei)