VoIP-Telefone: Schwere Sicherheitslücke bei Yealink entdeckt
Die Lücken klaffen im weltweit verwendeten Autoprovisionierungsdienst, der Telefone unkompliziert mit VoIP-Logins, Telefonbüchern und Anruferlisten versorgt.
- Andrijan Möcker
This article is also available in English
Das IT-Security-Unternehmen „VTRUST“ hat Sicherheitslücken im Autoprovisionierungsverfahren des VoIP-Telefonherstellers „Yealink“ aufgedeckt: Die Lücken betreffen den Untersuchungen nach alle Geräte des Herstellers, da das Verfahren überall gleich ist. Yealinks Dienst kommt weltweit insbesondere bei Cloud-Telefonie-Anbietern zum Einsatz. Der Hersteller gehört zu den Weltmarkführern und ist eine der erfolgreichsten chinesischen Firmen mit einem Reingewinn von 129 Millionen US-Dollar im Jahr 2018.
Die Auswirkungen können sowohl für die IT-Sicherheit als auch für den Datenschutz gravierend sein, weil die Lücken sich aus der Ferne – also über das Internet – ausnutzen lassen. Die Telefone sind über Yealinks Dienst zwar nicht direkt erreichbar, jedoch kann der Angreifer auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten zugreifen. So ist nicht nur Rufnummernmissbrauch mit horrenden Rechnungen oder Betrugsanrufen, sondern potenziell auch Wirtschaftsspionage möglich.
Schleppender Fortschritt
VTrust kam im November 2019 mit den Sicherheitslücken auf c't zu und demonstrierte einen Angriff mithilfe mehrerer eigens beschaffter Yealink-Telefone und VoIP-Accounts. c't versuchte daraufhin einen Kontakt zu Yealink herzustellen, um den Telefonhersteller auf die Lücken aufmerksam zu machen. Jedoch blieben mehrere Mails an die Sales- und Support-Adressen des Herstellers trotz deutlichem Hinweis auf kritische Sicherheitsprobleme über fast zwei Wochen unbeantwortet.
Erst als c't mit Nachdruck über Yealinks Facebook-Seite um einen Ansprechpartner bat, reagierte der Hersteller und gab einen Kontakt heraus. Yealink bestätigte, das Problem mit höchster Priorität anzugehen und erhielt von VTrust technische Details zu den Sicherheitslücken. Zeitgleich machte VTrust mehr als 20 deutsche VoIP-Anbieter, die Yealink-Produkte anbieten/unterstützen und somit möglicherweise von dem Problem betroffen sind, per E-Mail, Fax und Einschreiben auf die Sicherheitslücken aufmerksam, bekam jedoch nur von dreien eine Rückmeldung.
Yealink hat es über zwei Monate nach dem ersten Kontakt nicht geschafft, die Sicherheitslücken zu schließen, einen Lösungsansatz zu finden oder den möglichen Schaden zumindest einzudämmen: Technisch gesehen wäre der Hersteller in der Lage, eine Liste der VoIP-Anbieter, die das Verfahren einsetzen, zu erstellen und sie über die Sicherheitslücken in Kenntnis zu setzen. Laut c't-Informationen ist das jedoch nicht passiert.
VoIP-Anbieter können reagieren – Nutzer kaum
Nutzer von automatisch konfigurierten Yealink-Telefonen können kaum etwas gegen die Sicherheitslücken tun, da diese vollständig auf Serverseite liegen. Manche VoIP-Anbieter bieten die Option, das Autoprovisionierungsverfahren über ihr Kundenportal abzustellen. Ob die Daten dann tatsächlich nicht mehr verfügbar sind, hängt vom Anbieter ab.
VoIP-Anbieter können hingegen reagieren, da Yealink das Verfahren nur spezifiziert, nicht aber die einzusetzende Serversoftware vorschreibt. Stärkere Überwachung der Zugriffe auf den Dienst sowie Ratelimiting, um Massenabfragen zu verhindern, sind mögliche Sofortmaßnahmen. Bislang liegen c't keine Hinweise auf hohe Zugriffszahlen vor, die auf einen Angriff schließen lassen könnten. Ein von VTrust benachrichtigter Provider hat das Problem bereits mit einer Zwei-Faktor-Authentifizierung angegangen.
Wenn Sie selbst VoIP-Anbieter sind und das Provisionierungsverfahren von Yealink einsetzen, können Sie den verantwortlichen Redakteur über amo@ct.de kontaktieren oder VTrust direkt ansprechen.
Update 07.02.2020 16:40: Yealink hat gegenüber c't geäußert, dass man mit Hochdruck an einer Zwei-Faktor-Authentifizierung arbeite, um die Lücken zu schließen. Der Hersteller will sich erneut bei c't melden, wenn weitere Maßnahmen erfolgt sind.
Viele der c’t-Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln.
Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
