E-Mail-Anhänge hacken Router

Na gut wer das standard Passwort im Router nicht ändert hats nicht besser verdient.

Ist nur blöd für die vielen A1 Kunden mit dem Pirelli oder Thomson Routern. Alle Einstellungen gleich, nicht veränderbar (außer man spielt alternative config usw. auf).

Und die haben seit Ewigkeiten das selbe root passwort

Das da noch niemand auf schlimme Gedanken gekommen ist^^

Der root-User wurde bei den A1-Pirellis schon seit geraumer Zeit weggepacht, d.h. es gibt ihn garnicht mehr. Es gibt allerings noch den user "Admin" der ein "Super-User" ist und dessen Passwort man auch ändern kann und sollte.

Die größte Sicherheitslücke sitzt halt weiterhin vor dem Bildschirm mit den Händen an der Tastatur...

Ziemlich geniale Idee ;o)

Anscheinend wird das Username/Passwort zu den Kistln als GET-Parameter übergeben und ist damit auch von jedem lesbar, der einem über die Schulter schaut...

scheinbar handelt es sich nicht um Bilder in der Mail, sondern um ein <img>-Element, welches zum Nachladen von Bildern gedacht ist.

In diesem Fall wird halt kein Bild geladen, sondern ein HTTP-Request an den Router gesendet. Die Einfachste Lösung dürfte das Ändern der Standard-IP und der Standard-Benutzerdaten des Routers/Modems sein.

... wenn IP-V6 Geräte in Massen auf dem Markt sind - da wirds Sicherheitslücken ohne Ende geben - und Tricks die bei IP-V4 gar nicht denkbar sind/waren...

Ich denk da zum Beispiel an Anycast-Adressen: Einfach als erster zugreifen - ob manns braucht oder nicht..Autokonfiguration, Neighbor Discovery Protocol und Co. werden sicherlich auch "kreativer" verwendet werden können - irgendeiner wird schon was finden..
Intern bleib ich auf v4 ... so oldschool das jetzt auch klingen mag...

Gibt´einen Grund für einen Wechsel des internen Netzwerkes auf v6?
Ich bin kein Fachmann, aber ich wage zu behaupten dass die mögliche Geräteanzahl von v4 bei privaten Anwendern mittelfristig ausreichend sein wird.

Abgesehen vom default Passwort - ist's nicht ein bissl eine komische Idee, die Konfigurationsaenderungen mittels GET auszufuehren?

Per JS POST-Formular erzeugen, per JS abschicken.

viele machen das schon so auf "ajax style"

Wobei wenn mans streng nimmt dann vmtl. z.B. Google bei jeder Suchanfrage (per GET) auch dagegen verstosst: Die werten doch sicher jeden Scheiss aus und verarbeitens irgendwie weiter - also nix mit "nur retrieval".

Najo aber xmlhttprequest kann ja nicht nur GET. Und wenns mit POST verwendet worden waere, waer ein Aufruf ueber ein Bild-Adresse nicht so einfach gewesen.

Widerspricht nebenbei auch RFC 2616 ("In particular, the convention has been established that the GET and HEAD methods SHOULD NOT have the significance of taking an action other than retrieval.")

Ziemlich fancy. Respekt.

wer einen Router mit default passwort betreibt sollte sowieso gestraft werden

aber ich behaupte jetzt mal, dass 90% keine ahnung haben, wie man überhaupt auf den router kommt und dass es da ein passwort gibt. bzw eines geben sollte :-)

stimmt, total scary wenn die admin sachen ohnehin nur aus dem LAN erreichbar sind.

hat er sich eh selber gestellt ... wenn er einen Router mit Default Kennwort betreibt.

Bei Tele2 ist es unmöglich, das Passwort zu ändern, so viel zu dem Thema :-/

aber mein passwort hab ich damals noch geändert :-)

Mein Thomson TWG 870 stürzt immerwieder ab und manchmal geht er dabei zurück auf die Werkseinstellungen. Das doofe ist, man merkt das manchmal gar nicht.

Ruf mal an bei UPC, ich hatte mit meinem TWG870 auch Probleme hatte andauern disconnects. Ich hatte das Glück anscheinend einen guten Techniker ans Telefon zu bekommen. Er hat sich die Verbindungsprotokolle anschaut und anschließend die Routerverbindungsdaten kontrolliert. - Er meinte dann die Verbindung sei schlecht, kontrollierte die Firmware und meinte das es mit dieser Version immer wieder Probleme gäbe und spielte mir eine neue auf. - Ein Router-Neustart, die Verbindungswerte waren wieder gut und seitdem habe ich keine Probleme mehr.