VoIP-Telefon als Sicherheitsrisiko
Die Weboberfläche des Voice-over-IP-Telefon Snom 32x ist für Angriffe anfällig. Laut der Hackergruppe GNUCitizen lassen sich die Geräte damit auch zur Raumüberwachung missbrauchen. Hersteller Snom greift einige Vorschläge der Hackergruppe auf.
Die VoIP-Telefone der Marke Snom 32x sind für diverse Angriffe aus dem Netz anfällig, berichtet der Hacker .mario von GNUCitizen. Das Web-Interface des Telefons soll danach für bekannte Angriffe wie Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) anfällig sein: Ein Angreifer soll beispielsweise Anrufprotokolle und Adressbucheinträge verändern, fremde Nummern anrufen, die Display-Ausgaben ändern und über das Telefon das Zimmer des Opfers akustisch überwachen können.
Nötig sei für die Angriffe allein die Kenntnis der IP-Adresse, die sich einfach über einen Portscanner, einen XSS-Intranet-Scan oder einfach durch Raten ermitteln lasse. Auch das für die Web-Oberfläche nötige Passwort stelle keine große Hürde dar, denn das voreingestellte Passwort der Telefone lautet schlicht 0000 und kann über eine Suche im Internet ausfindig gemacht werden.
Snom hat mittlerweile auf die Veröffentlichung reagiert und steht nach eigenen Aussagen in Kontakt mit dem Autor. Tim Köhler, Mitarbeiter und Sprecher von Snom, teilte gegenüber heise Netze mit, dass einige der von GNUCitizen aufgegriffenen Punkte Funktionen seien, über die beispielsweise andere Hersteller auf die Telefonfunktionen zugreifen. Zugunsten der "Benutzerfreundlichkeit" habe man die Geräte recht liberal eingestellt, da Installation und Einrichtung zudem von Fachhändlern und Administratoren erledigt würden, die nach Ansicht von Snom für die nötigen Sicherheitsvorkehrungen zuständig seien.
Mit einigen Maßnahmen will Snom jedoch die Sicherheitsrisiken verringern und greift dabei auf einige Vorschläge aus dem GNUCitizen-Text zurück: In neuen Firmware-Versionen soll das eingebaute Flash-Applet überarbeitet werden und die Formulare der Web-Oberfläche sollen ein "Token" erhalten, das Cross-Site Scripting erschwert. Zukünftig soll die Web-Oberfläche den Benutzer warnen, falls Benutzername und Passwort nicht gesetzt sind. Außerdem will Snom das Thema Sicherheit in einem Online-Artikel und seinen Mitteilungen an die Fachhändler aufgreifen. (rek)
