LTE-Hotspot als Sicherheitsalptraum: Der D-Link DWR-932B
Ein Sicherheitsforscher, der eine ganze Reihe schwerwiegende Sicherheitslücken in dem Gerät entdeckt hat, empfiehlt Besitzern, es zu entsorgen. D-Link verspricht Patches, sagt aber nicht, wann diese zu erwarten sind.
Ein LTE-Hotspot der Bauart DWR-932B von D-Link.
(Bild: D-Link)
- Fabian A. Scherschel
Die Revision B des LTE-Hotspots DWR-932 hat eine ganze Reihe von Sicherheitslücken. Diese sind so zahlreich und schwerwiegend, dass Hacker geradezu die Wahl haben, wie sie das Gerät kapern wollen: Mittels der zwei SSH-Admin-Konten mit Standardpasswort, über Lücken im Webserver oder doch lieber über den Firmware-Update-Mechanismus mit Standardpasswörtern? Hinzu kommt die Möglichkeit, einen Telnet-Dienst über ein manipuliertes UDP-Paket starten zu können, eine Standard-PIN für das WPS des Hotspots und eine desaströse UPnP-Konfiguration.
Sicherheitsforscher Pierre Kim, der diese und weitere Lücken in seinem DWR-932 (Revision B) gefunden hat, empfiehlt Nutzern auf Grund der vielen eklatanten Sicherheitslücken, das Gerät kurzerhand wegzuwerfen. Seiner Meinung nach ist es zu einfach, das Gerät in ein Botnetz einzuspannen, als dass man es weiter in Betrieb haben könne. Was ein solches Botnetz aus dem Internet der Dinge ausrichten kann, bekam die Welt erst vergangene Woche zu spüren.
D-Link ist sich der Sicherheitslücken bewusst. Die Firma gibt an, an einer Lösung aller in Kims Bericht erwähnten Lücken zu arbeiten. Man wisse von den Sicherheitsproblemen seit dem 15. Juni. Wann Updates bereit stehen sollen, gab die Firma nicht bekannt. Die Revision B des Gerätes werde nicht mehr hergestellt. Kunden mit Fragen bezüglich der Lücken sollen bei ihrer lokalen D-Link-Niederlassung rückfragen. (fab)
