Skip to main content
Warum O2
Warenkorb
 Service
Frage

Router 4421 - Besitzt O2 Remote-Zugriff auf die Firmware?

  • April 5, 2014
  • 1 Antwort
  • 317 Aufrufe
DSLNutzerBerlin
Besucher:in
Ich habe kürzlich entdeckt, dass auf der Übersichtsseite meines Routers HTML-Code eingefügt wurde, der bei Auslieferung noch nicht vorhanden war.

Es handelt sich um einen Warnhinweis bezüglich der voreingestellten WLAN-Passwörter. Der Text befindet sich in einem div-Element mit der id "idWarningMsg".

 

Sicherheitshinweis



Lieber o2 Kunde,


Sie verwenden derzeit noch den voreingestellten WLAN-Schlüssel Ihres Routers.
Es gibt aktuelle Hinweise, dass das eingesetzte Verfahren zur Generierung dieses WLAN-Schlüssels ein Risiko für eventuelle Zugriffe durch Unbefugte zulässt.


Um die Sicherheit Ihres Netzwerks zu erhöhen, ist es wichtig, diesen WLAN-Schlüssel - also Ihr WLAN-Passwort - zu ändern.


Klicken Sie daher auf „Jetzt ändern”, um die Änderung gleich durchzuführen.


Weitere Informationen finden Sie unter
http://www.o2.de/hilfe/router-sicherheit" style="color: blue;" target="_blank">www.o2.de/hilfe/router-sicherheit.


Viele Grüße
Ihr o2 Team

 

Da ich mein WLAN-PW (selbstverständlich) bereits bei der Inbetriebnahme umgestellt hatte, wurde der Text zunächst nicht angezeigt - ich habe ihn durch Zufall entdeckt.
Als ich dann - kurzzeitig zu Testzwecken - mein WLAN-PW auf den auf dem Gehäuse angegebenen Wert zurückstellte, wurde der Text angezeigt.

Das bedeutet für mich zweierlei:
1) Da der HTML-Code der Admin-Oberfläche durch die Firmware des Routers ausgeliefert wird (und der o.g. Code bei Lieferung noch nicht vorhanden war und ich kein Firmware-Update vorgenommen habe) muss O2 über eine Möglichkeit verfügen, die Firmware des Routers nachträglich "remote" zu verändern.
2) Die (veränderte) Firmware muss über die Möglichkeit verfügen, das WLAN-PW auszulesen. (Wie sollte sonst festegestellt werden, ob es dem voreingestellten Wert entspricht?)

Ich wüßte gern, wie das möglich ist und wie sichergestellt ist, dass die Mechanismen nicht durch Dritte mißbraucht werden können.

Zur Klarstellung: da ich das WLAN-PW bereits frühzeitig geändert hatte, kann die durch die Verwendung der voreingestellten PWs bestehende Sicherheitslücke NICHT verantwortlich sein.

    Zu diesem Thema können keine neuen Antworten hinzugefügt werden. Du kannst gern ein eigenes Thema erstellen.

    1 Antwort

    binauchhier
    Besucher:in
    • binauchhier
    • Besucher:in
    • April 5, 2014
    DSLNutzerBerlin schrieb:

    Das bedeutet für mich zweierlei:
    1) Da der HTML-Code der Admin-Oberfläche durch die Firmware des Routers ausgeliefert wird (und der o.g. Code bei Lieferung noch nicht vorhanden war und ich kein Firmware-Update vorgenommen habe) muss O2 über eine Möglichkeit verfügen, die Firmware des Routers nachträglich "remote" zu verändern.
    2) Die (veränderte) Firmware muss über die Möglichkeit verfügen, das WLAN-PW auszulesen. (Wie sollte sonst festegestellt werden, ob es dem voreingestellten Wert entspricht?)

    1) Ja, diese Möglichkeit hat O2. Suche nach TR-069. Das Protokoll ist nach derzeitigem Stand sicher.

    2) Natürlich hat sie das. Das Passwort wird ja unter Heimnetz -> WLAN auch angezeigt.

     

    Solange du die Routeroberfläche mit einem sicheren Passwort schützt und der Router keine Sicherheitslücke hat, kann niemand darauf zugreifen.

    Allgemeine Nutzungsbedingungen der O₂ CommunityAccessibility statement
    © Telefónica Germany GmbH & Co. OHG Telefónica