Kabel Deutschland Programmmanager: Sicherheitslücke entdeckt

Kabel Deutschland Programmm-Manager
Kabel Deutschland Programmm-Manager

Eine Sicherheitslücke im Programmmanager von Kabel Deutschland lässt Kundendaten unverschlüsselt. Dabei handelt es sich um die App für Android und iOS, die für Smartphones und andere mobile Endgeräte konzipiert wurde. Wie das Magazin heise berichtet, werden unter anderem beim Einloggen die Nutzerdaten im Klartext dargestellt. Von der Verwendung der App  rät das Magazin bis auf Weiteres ab.

Was beinhaltet die Programmmanager-App für mobile Endgeräte

Wer die App für den mobilen Programmmanager nutzt, kann sowohl die Senderauswahl als auch Angebote von Select Video aufrufen. Zudem bietet die Sparte Highlights ausgewählte kundenspezifische Programmangebote. Die App verhält sich wie ein digitaler Videorekorder, der sich von unterwegs bedienen lässt. Die eingegebenen Befehle werden auf den tatsächlichen Rekorder weitergegeben. Bedingung  besteht darin, dass sowohl der Rekorder (mit Smartcard) als auch das Smartphone durch die App verknüpft sind.

Was kann bei Missbrauch passieren?

Wenn die Nutzerdaten im Klartext übertragen werden, also ohne https-Verschlüsselung, können Personen, die sich ungefragt in den Zugangsbereich einklinken, alle Daten erhalten, die sie benötigen, um zum Beispiel  den digitalen Videorekorder via Programmmanager fernzusteuern. Außerdem wird ihm durch die Kennung der Kundendaten der Zugang zum Kundenportal von Kabel Deutschland gewährleistet. Um diesen Zugang zu erhalten, wird Kundennummer und Passwort benötigt. Beides muss der Kunde beim Einloggen ins Netz angeben.

Risiko öffentlicher Internetzugang

Kabel Deutschland bietet überall für Kunden und Nichtkunden kostenlose Hotspots an. Dabei handelt es sich um einen öffentlichen Internetzugang. Diese sind zumeist weniger gesichert. Würde sich ein Kabel-Deutschland-Kunde in einem solchen einloggen, könnte ein Täter, der sich in seiner Nähe befindet, über eine Funkverbindung (WLAN) alle Vorgänge bis hin zur Eingabe von Nutzername bis Passwort mitschneiden.

Warum HTTPS

HTTP heißt ausgeschrieben Hypertext Transpher Protocol, das heißt bestimmte Daten werden über ein Protokoll weitergegeben. Das S (Secure) in HTTPS sorgt dafür, dass diese Datenübermittlung verschlüsselt geschieht. Dieses Protokoll gehört zum Datenschutz und muss mindestens dort eingesetzt werden, wo sensible Daten übertragen werden wie es zum Beispiel beim Einloggen in ein Kundenkonto der Fall ist.

Sicherheits-Update bis Mitte September

Wie heise weiter berichtet, bereite Kabel Deutschland die Verschlüsselung zwischen Server und App vor. Die Umstellung solle nach Angaben eines Unternehmenssprecher, so heise, Mitte September vollzogen sein.

Bis zur Umstellung auf https sollten Kunden die App nicht mehr verwenden. Betroffene, die bereits die App nutzten, sollten ihr Kennwort zeitnah ändern. Dies sei vor allem denjenigen empfohlen, die sich Zugang zur App über öffentliche Internetverbindung verschafft haben.

Quelle: heise.de

Update: Seit Ende September steht das Sicherheitsupdate in den App-Stores für iOS- und Android-Geräte zur Verfügung. „Kabel Deutschland hatte mit Hochdruck an einer Lösung der Problematik gearbeitet. Es wurde eine permanente Umleitung auf https eingeführt, so dass die Kommunikation nach dem Verbindungsaufbau jederzeit verschlüsselt erfolgt und insbesondere sensible Daten wie Login-Daten verschlüsselt übertragen werden“, so Marco Gassen gegenüber Kabel-Blog. Darüber hinaus empfiehlt der Pressesprecher zur Sicherheit, das Gerät noch einmal neu zu starten, sodass die Änderungen dann auch tatsächlich beim jeweiligen Gerät ankommen.

 

 

 

Über Nadja 137 Artikel
Seit 2006 bin ich als Redakteurin und Lektorin bei Online-Projekten aktiv. Hier im Kabel-Blog bin ich für die News zuständig, recherchiere neue Sender und erstelle nützliche Ratgeber für euch. Was ist ein Kabelreceiver? Was braucht ihr fürs digitale Fernsehen? Was gibt es an Onlinevideotheken in Deutschland? Ich erkläre es euch gern.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.