Eine Sicherheitslücke im Programmmanager von Kabel Deutschland lässt Kundendaten unverschlüsselt. Dabei handelt es sich um die App für Android und iOS, die für Smartphones und andere mobile Endgeräte konzipiert wurde. Wie das Magazin heise berichtet, werden unter anderem beim Einloggen die Nutzerdaten im Klartext dargestellt. Von der Verwendung der App rät das Magazin bis auf Weiteres ab.
Was beinhaltet die Programmmanager-App für mobile Endgeräte
Wer die App für den mobilen Programmmanager nutzt, kann sowohl die Senderauswahl als auch Angebote von Select Video aufrufen. Zudem bietet die Sparte Highlights ausgewählte kundenspezifische Programmangebote. Die App verhält sich wie ein digitaler Videorekorder, der sich von unterwegs bedienen lässt. Die eingegebenen Befehle werden auf den tatsächlichen Rekorder weitergegeben. Bedingung besteht darin, dass sowohl der Rekorder (mit Smartcard) als auch das Smartphone durch die App verknüpft sind.
Was kann bei Missbrauch passieren?
Wenn die Nutzerdaten im Klartext übertragen werden, also ohne https-Verschlüsselung, können Personen, die sich ungefragt in den Zugangsbereich einklinken, alle Daten erhalten, die sie benötigen, um zum Beispiel den digitalen Videorekorder via Programmmanager fernzusteuern. Außerdem wird ihm durch die Kennung der Kundendaten der Zugang zum Kundenportal von Kabel Deutschland gewährleistet. Um diesen Zugang zu erhalten, wird Kundennummer und Passwort benötigt. Beides muss der Kunde beim Einloggen ins Netz angeben.
Risiko öffentlicher Internetzugang
Kabel Deutschland bietet überall für Kunden und Nichtkunden kostenlose Hotspots an. Dabei handelt es sich um einen öffentlichen Internetzugang. Diese sind zumeist weniger gesichert. Würde sich ein Kabel-Deutschland-Kunde in einem solchen einloggen, könnte ein Täter, der sich in seiner Nähe befindet, über eine Funkverbindung (WLAN) alle Vorgänge bis hin zur Eingabe von Nutzername bis Passwort mitschneiden.
Warum HTTPS
HTTP heißt ausgeschrieben Hypertext Transpher Protocol, das heißt bestimmte Daten werden über ein Protokoll weitergegeben. Das S (Secure) in HTTPS sorgt dafür, dass diese Datenübermittlung verschlüsselt geschieht. Dieses Protokoll gehört zum Datenschutz und muss mindestens dort eingesetzt werden, wo sensible Daten übertragen werden wie es zum Beispiel beim Einloggen in ein Kundenkonto der Fall ist.
Sicherheits-Update bis Mitte September
Wie heise weiter berichtet, bereite Kabel Deutschland die Verschlüsselung zwischen Server und App vor. Die Umstellung solle nach Angaben eines Unternehmenssprecher, so heise, Mitte September vollzogen sein.
Bis zur Umstellung auf https sollten Kunden die App nicht mehr verwenden. Betroffene, die bereits die App nutzten, sollten ihr Kennwort zeitnah ändern. Dies sei vor allem denjenigen empfohlen, die sich Zugang zur App über öffentliche Internetverbindung verschafft haben.
Quelle: heise.de
Update: Seit Ende September steht das Sicherheitsupdate in den App-Stores für iOS- und Android-Geräte zur Verfügung. „Kabel Deutschland hatte mit Hochdruck an einer Lösung der Problematik gearbeitet. Es wurde eine permanente Umleitung auf https eingeführt, so dass die Kommunikation nach dem Verbindungsaufbau jederzeit verschlüsselt erfolgt und insbesondere sensible Daten wie Login-Daten verschlüsselt übertragen werden“, so Marco Gassen gegenüber Kabel-Blog. Darüber hinaus empfiehlt der Pressesprecher zur Sicherheit, das Gerät noch einmal neu zu starten, sodass die Änderungen dann auch tatsächlich beim jeweiligen Gerät ankommen.
Hinterlasse jetzt einen Kommentar