UPC: "Keine Sicherheitslücke in unserem WLAN-Router"

Sicherheitsdienstleister wider- spricht: Über geheimes WLAN-Netz können Daten ausspioniert werden

Es gibt Sicherheitslücken, deren Auswirkungen nur schwer im Vorhinein abzuwenden sind. Und dann gibt es solche, wie die folgende: Wie die SicherheitsexpertInnen von SBA Research entdeckt haben, sind tausende österreichische UPC-KundInnen von einer schwerwiegenden Lücke bei einem vom Internet-Provider verwendeten WLAN-Router betroffen. (Anm.: Siehe die einige Stunden nach der Erstellung erfolgte Stellungnahme von UPC am Ende des Artikels)

Hintergrund

Auslöser des Problems ist der Thomson TWG870U-Router, wie er international von mehreren lokalen UPC-Ablegern zum Einsatz gebracht wird, und auch Teil des kombinierten TV- und Internet-Angebots von UPC-Österreich ist. Dieser öffnet nämlich neben dem von den NutzerInnen konfigurierten WLAN noch ein zweites, nach außen hin unsichtbares Netz. Wirklich unangenehm wird die Angelegenheit dadurch, dass nicht nur bei sämtlichen Geräten die selbe Netzwerkkennung (SSID) zum Einsatz kommt, auch der zur Verbindungsaufnahme notwendige Schlüssel ist bei allen Geräten exakt der gleiche.

Konfiguration

Wer diese Informationen hat, kann also ohne Probleme bei einem solchen Router "einsteigen" und in Folge das fremde Internet nutzen - und natürlich theoretisch auch ausspionieren. Darüber hinaus ist über diese weit offene Hintertür sogar die Konfiguration des Routers möglich, womit sich etwa auch der Schlüssel des primären - also öffentlich sichtbaren - WLANs auslesen lässt, da dieser im Klartext einsichtig ist.

Identifikation

Eine theoretische Einschränkung für die reale Ausnutzbarkeit dieser Lücke wäre, dass das zweite WLAN-Netzwerk zunächst mal nicht erkennbar wäre, da ja die SSID nicht offen angezeigt wird. Insofern müsste man also schon wissen, dass jemand einen solchen Router einsetzt, um sicher zu sein, dass die Lücke auch "funktioniert". Zumindest wäre dem so, wenn der Hersteller nicht noch an anderer Stelle gepatzt hätte: Jeder WLAN-Router hat neben der SSID auch noch eine Basic service set identification (BSSID) - und die weist bei allen TWG870U-Routern eindeutige Merkmale auf, mit denen sie identifiziert werden können.

Hintergrund

Besonders ärgerlich macht diese Lücke, dass sie seit langem bekannt ist, erstmals wurde ein ähnlicher Fehler bei dem Router im Jahr 2009 aufgezeigt. Virulent wurde das Problem dann im November 2010 bei UPC Niederlande, wo man die Hintertür mittlerweile offenbar per Update geschlossen hat. Insofern verwundert es doch einigermaßen, dass man bei UPC Österreich offenbar nichts aus dem Fehler beim eigenen Schwesterunternehmen  gelernt hat. Ganz im Gegenteil: In den Niederlanden war der Zugriff auf das Router-Konfigurations-Interface noch nicht "verfügbar", dort konnte man auf diesem Weg "nur" das Internet mitnutzen.

Offene Fragen

Zudem bleibt die Frage, warum die Router überhaupt ein solches zweites, geheimes WLAN-Netz aufmachen. In den Niederlanden verwies man damals vage auf ungenannte "zukünftige Services". Eine Stellungnahme von UPC zu einer Anfrage des WebStandards steht derzeit noch aus. Die Entdecker der Lücke beklagen hingegen, dass man wochenlang ohne Erfolg versucht habe, UPC auf das Problem hinzuweisen - ohne je eine Antwort zu bekommen. Insofern habe man sich auch jetzt zur Veröffentlichung entschlossen.

Umfang

Beim Sicherheitsdienstleister SBA Research warnt man vor potentiell folgenschweren Konsequenzen, etwa wenn dann im Rahmen der Vorratsdatenspeicherung Personen Aktivitäten zugeordnet werden, die sie gar nicht vorgenommen haben. Laut früheren Aussagen von UPC nutzen rund 250.000 österreichische KundInnen ein Paket, das einen solche WLAN-Router enthält. (Anm.: UPC hat diese Zahl mittlerweile dementiert)

Update, 14:30:

Mittlerweile gibt es eine offizielle Stellungnahme von UPC, in der man der Darstellung von SBA Research widerspricht, und die wir im Folgenden im vollen Wortlaut wiedergeben wollen: "Die angesprochene Sicherheitslücke der von UPC Kunden verwendeten Thomson Modems wurde bereits, nachdem das Problem bei UPC in den Niederlanden erkannt wurde, mit einer aktualisierten Firmware, die auch in Österreich im Einsatz ist, beseitigt. Seither ist dieses "Guest Network" zwar ersichtlich, aber deaktiviert. Der Kunde hat auch keine Möglichkeit dieses Netz zu aktivieren. UPC ist die Untersuchungsmethode der SBA Research nicht bekannt. Anlässlich der Anschuldigungen hat UPC intensiv die jeweiligen WLAN Modems getestet und kann bestätigen, dass die Sicherheitslücke bei den UPC Modems mit der aktualisierten Firmware nicht mehr besteht. Modems, die am Netz von UPC hängen, werden regelmäßig upgedatet, wodurch die Geräte immer am neuesten Stand sind. Zudem möchten wir festhalten, dass nicht 250.000, sondern rund 10.000 Stück des besagten Thomson Modems von UPC in Österreich in Verwendung sind."

Update, 16:16

Nach der Stellungnahme von UPC erklärte SBA Research nochmals gegenüber dem WebStandard, dass die Darstellung von UPC nicht korrekt sei. Die beschriebene Sicherheitslücke sei auf den Modems noch immer vorhanden. (apo, derStandard.at, 26.07.11)

Share if you care