Immer Ärger mit der EasyBox
Viele Vodafone-Router sind mit geringem Aufwand kompromittierbar – aufgrund einer Schwachstelle, die der Provider seit Jahren nicht in den Griff bekommt.
- David Wischnjak
Verwundbare Vodafone-Router (12 Bilder)
Wie Stichproben von heise Security ergaben, haben viele Vodafone-Router wieder ein schwerwiegendes Sicherheitsproblem. Die Grundlage der Lücke ist seit drei Jahren bekannt und entwickelte sich zum Katz-und-Maus-Spiel zwischen Vodafone und mehreren Sicherheitsforschern. Dabei sind die Leidtragenden vor allem die Kunden, deren Funknetze weit offen stehen.
Nachdem vor drei Jahren die erste Schwachstelle bekannt wurde, kamen im März 2012 weitere Details dazu. Damals hatte sich der Sicherheitsforscher Sebastian Petters einige Patente des Herstellers Arcadyan genauer angesehen und so den Algorithmus entdeckt, welcher aus der MAC-Adresse den Standard-WPA-Schlüssel generierte.
Im August des darauf folgenden Jahres veröffentlichte der Sicherheitsspezialist Stefan Viehböck den WPS-Algorithmus, durch welchen auch die WPS-PIN berechnet werden konnte – ebenfalls mit der MAC-Adresse. Mit dieser PIN kann man sich auch ohne Kenntniss das WPA-Passworts mit dem Router verbinden. Ein Angreifer kann die EasyBox also auch dann knacken, wenn das WPA-Passwort bereits geändert wurde. Dies rief sogar den BSI auf den Plan, nachdem die Router über die seit Jahren bekannte Lücke gezielt für Telefonterror missbraucht wurden.
Kurzzeitige Abhilfe
Daraufhin versprach Vodafone Besserung und startete eine Informationskampagne, welche die Kunden aufforderte, ihr WPA-Passwort zu ändern und WPS zu deaktivieren. Anscheinend erreichte diese Kampagne aber nur einen kleinen Teil der Nutzer – zumindest haben unseren Beobachtungen zufolge nur wenige den Hinweis befolgt. Schließlich veröffentlichte Vodafone knapp zwei Monate später ein Firmware-Update für die 600er und 800er Reihe der EasyBox-Router, einige ältere Modelle mit WPA-Schwachstelle gingen allerdings leer aus.
Der Angriff beruht darauf, dass ein Angreifer aus der für ihn sichtbaren MAC-Adresse den Standard-WPA-Schlüssel und die voreingestellte WPS-PIN berechnet. Das Update änderte diese Schlüssel nicht. Stattdessen veränderte es die MAC-Adresse des Routers so, dass eine Berechnung der WPA- und WPS-Schlüssel zunächst unmöglich schien.
Neue Lücken und nachhaltiger Schutz
Die neue alte Sicherheitslücke
Doch bald stellte sich heraus, dass sich ein Teil der ursprünglichen MAC-Adresse auch in der ebenfalls sichtbaren Standard-SSID wiederfindet. Dank einiger Anpassungen am Knack-Algorithmus bleiben damit dann nur etwa zwanzig mögliche WPA und WPS-Schlüssel übrig. Die alle durch zu probieren dauert nicht lange.
Ende März informierte heise Security Vodafone über diesen Umstand, worauf das Unternehmen beteuerte, dass nur "sehr wenige Kunden" das voreingestellte Passwort nutzen würden. Um diese ebenfalls zu schützen gäbe es ein Firmware-Update, welches eindeutig greifen würde, da nach dem Update in keinem einzigen Fall Kunden durch einen Angriff Schaden entstanden sei.
Außerdem versprach Vodafone ein Update, welches den Nutzer zwingen sollte, sein WLAN-Passwort zu ändern. Dessen Verteilung begann Ende März 2014. Allerdings erreichte es nur die 802er EasyBox-Router. Wir haben selbst bisher keine mit diesem Update versorgte EasyBox zu Gesicht bekommen und können daher keine Aussage darüber machen, ob WPS bei diesen Routern weiterhin angreifbar bleibt. Dafür berichten uns Hacker von sehr vielen EasyBox-Systemen, deren Funknetze sperrangelweit offen stehen.
Schlüssel auf Umwegen
Selbst wenn der Kunde das WPA-Passwort geändert hat, kommt ein Angreifer unter Umständen noch via WPS noch rein. Zwar hat die Easybox ein weiteres Sicherheits-Feature, das einem zuverlässig funktionierenden Angriff auf die WPS-PIN noch im Wege stehen könnte. Sie deaktiviert nämlich nach zehn Fehlversuchen die WPS-Schnittstelle bis zu einem Neustart. Doch auch diese Hürde hielt nicht lange.
So hat in der Zwischenzeit ein Sicherheitsforscher mit Pseudonym Warker das neue Firmware-Update analysiert und dabei den Algorithmus aufgedeckt, der aus der alten MAC-Adresse die neue generiert. Dieser nutzt als Eingabe Teile der alten MAC-Adresse und Serienummer. Durch die Kombination der vorhandenen Daten, also der SSID mit Teilen der alten MAC und der neuen MAC-Adresse lassen sich damit die möglichen Passwörter weiter eingrenzen. Übrig bleiben ein bis maximal zwei Varianten für die voreingestellten WPA- beziehungsweise WPS-Schlüssel.
Wurde das voreingestellte WPA-Passwort geändert, nimmt der Hacker also einen Umweg über WPS. Er berechnet dazu die Standard-WPS-PIN. Wurde die nicht ebenfalls umgestellt, kann er mit deren Hilfe und einem Tool wie dem öffentlich verfügbaren Reaver den neuen WPA-Schlüssel ermitteln. In Tests von heise Security gelang das erschreckend einfach.
Nach unserer Einschätzung steht damit ein großer Teil der EasyBox-Router, welche vor August 2011 hergestellt wurden (mit Ausnahme einiger 802er) für Hacker vollkommen offen. heise Security hat Vodafone erneut darüber in Kenntnis gesetzt.
Langfristiger Schutz
Wer eine der betroffenen EasyBoxen benutzt und sich nachhaltig schützen will, muss sowohl das vorgegebene WPA-Passwort als auch die WPS-PIN ändern oder WPS gleich ganz abschalten. Es reicht nicht aus, nur einen der beiden Schritte zu vollziehen. Wie das genau funktioniert, zeigt Vodafone in dem Video unten. Es ist zwar schon mehrere Monate alt, allerdings sind dieser Empfehlung den uns vorliegenden Berichten zufolge eine nennenswerte Anzahl Kunden noch nicht nachgekommen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(rei)
