Wie der Sicherheitsforscher Bogdan Calin auf seiner Website schreibt, gibt es eine Vielzahl an Routern von Arcor, Asus und TP-Link, die sehr anfällig für Angriffe sind. Wie Heise aufgreift, kann das bloße Anzeigen einer Mail dazu führen, dass diese Router fernkonfiguriert werden. 

Abgreifen von Zugangsdaten

Ein Testmail, das Calin präpariert hat, konfiguriert beim Öffnen des Anhangs den WLAN-Router neu. Dabei wird der gesamte Datenverkehr umgeleitet. Angegriffene könnten dann auf Phishing-Versuche reinfallen, indem sie beispielsweise auf bösartige Versionen von Seiten wie Facebook gelockt werden. Dort werden dann Zugangsdaten abgegriffen. 

Admin-Passwort

In diesem präparierten Mail hat Calin Bilder eingebettet, deren Quelle ("src") auf die Standard-IP des Routers zeigt. Diese URL enthält Anweisungen für das Webinterface des Routers und verändert die zuvor eingestellten DNS-Server. Ebenfalls in der URL ist das Default-Admin-Passwort für das Webinterface, sofern es nicht zuvor geändert wurde. 

Geänderte DNS-Einstellungen

Will der Angegriffene also das Bild öffnen, versucht der Mailclient das Bild unter der angegebenen URL zu finden, in Wirklichkeit verändert die URL allerdings die DNS-Einstellungen. Danach laufen Abfragen über die neuen DNS-Server, die vom Angreifer kontrolliert werden. Getestet hat Calin das Mail mit den Standard-Anwendungen in iOS und Mac OS X. Er empfiehlt in iOS die Einstellung "Entfernte Bilder laden" abzustellen. 

Passwort ändern

Die betroffenen Geräte sind die Asus-Router RT-N16 und RT-N56U, der T-Link-Router TL-WR841N und der Arcor EasyBox A600. Es ist allerdings nicht auszuschließen, dass auch andere Router kompromittiert werden können, weshalb eine Änderung des Default-Passworts im Router-Interface ein guter Schutz gegen diese Mails und ähnlich präparierte Websites ist. (red, derStandard.at, 30.11.2012)