Die Berichte der letzten Monate haben eines klar gemacht: Mit der Sicherheit von Heimroutern steht es oft nicht unbedingt zum Besten. Viele Hersteller vernachlässigen Updates, manche patzen gleich grob bei den Grundeinstellungen. Eine besonders eindrückliches Beispiel dafür liefern nun die Forscher der Carnegie-Mellon-Universität.

Fahrlässig

So hat man bei mehreren DSL-Heimroutern unterschiedlicher Hersteller gravierende Sicherheitsdefizite in den Default-Einstellungen aufgespürt. Der Login-Name lautet bei den betroffenen Geräten schlicht "admin", das Passwort ist ähnlich einfach zu raten. Besteht es doch aus dem Begriff "airocon" und vorangestellt den letzten vier Ziffern der MAC-Adresse des Routers – die von außen ausgelesen werden kann.

Unveränderlich

Besonders unerfreulich wird diese Schwäche dadurch, dass die Login/Passwortkombination bei den betroffenen Geräten nicht geändert werden kann. Zudem ist auch ein Telnet-Zugang nach außen offen, über den sich also Angreifer auf dem Router einloggen und beliebige Änderungen vornehmen könnten.

Auswahl

Betroffen sind Geräte von Asus (DSL N12E), Digicom (DG-5524T), ZTE (ZXV10 W300), Observa Telecom (RTA01N) und des philippinischen Anbieters Philippine Long Distance Telephone (Speedsurf 504AN). An der Bereinigung der Schwachstellen scheinen die Hersteller bisher nicht sonderlich interessiert zu sein. So sei ZTE bereits Ende 2013 von der Lücke informiert worden, habe bisher aber nichts unternommen.

Flickwerk

Angesichts der fixen Vergabe von Login und Passwort raten die Entdecker der Lücke die betroffenen Ports zumindest über die integrierte Firewall für den Zugriff von Außen zu blockieren. Ob es ein Update von den betroffenen Herstellern geben wird, ist bisher noch unbekannt. (apo, 31.8.2015)