Programm-Manager von Kabel Deutschland überträgt Passwörter im Klartext

Heise Security meldet, dass der Programm-Manager von Kabel Deutschland Passwörter und Nutzernamen im Klartext überträgt. Die App, die für Android und iOS zu haben ist, könnte mittels Man-in-the-middle-Attacke also ausgehorcht werden, sodass dem Angreifer die Daten des Nutzers in Hände fallen. Diese Daten kann er nicht nur nutzen, um aus der Ferne Aufzeichnungen am Receiver zu initiieren, er kann sich auch auf der Webseite von Kabel Deutschland einloggen und Tarife verändern oder auch Zusatzpakete buchen.

Kabel Deutschland

Heise Security rät aus den genannten Gründen von der Nutzung der App ab. Der Entdecker der Sicherheitslücke hatte Kabel Deutschland bereits Anfang des Jahres informiert, allerdings kein Feedback erhalten (unfassbar!). Erst als Heise nachfasste, meldete sich Kabel Deutschland zu Wort. Man kenne den Sachverhalt und bereite gerade die verschlüsselte Kommunikation zwischen App und Server vor. Mitte September könnte es schon soweit sein. Vielleicht entschließt man sich sogar irgendwann dazu, die wirklich furchtbare App einmal von Grund auf neu zu gestalten.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Kleiner Tipp : das ‚Label‘ Deutschland sollten Sie vielleicht in ‚Kabel‘ ändern sonst kommt irgendjemand noch auf Pöse Gedanken….

    Ps: diesen Kommentar bitte einfach kommentarlos löschen

  2. „Label Deutschland“ passender Name, denn die sind genauso so wie Unitymedia Labertaschen die viel versprechen aber nur sehr wenig davon einhalten.

  3. Was für Anfänger haben denn das verzapft?
    Solch ein App hätte zurückgezogen werden müssen bis eine verschlüsselte Kommunkation funktionsfähig wäre.

  4. Übrigens besteht das gleiche Problem bei PC Nutzung. Ich rufe „kabelmail.de“ mit dem Firefox (mit No Script) auf, gebe meine Daten ein, daraufhin warnt NoScript: „Es wurde eine mögliche XSS-Attacke festgestellt … Wollen Sie fortfahren?“
    Vor einiger Zeit wurde sogar im Fenster angezeigt, daß die Eingaben umgeleitet werden!
    Das bedeutet, daß alle bisherigen per Mail versendeten Bewrbungsunterlagen im Pdf-Format auch „sonstwo“ durch Abgriff gespeichert sind(?)

    Ist ja toll, daß KabelD „eventuell“ bis Mitte September eine Lösung finden „könnte“. 🙂
    Da fällt einem Nix mehr ein!

  5. Dass oft nur was passiert wenn die Presse Druck macht ist unglaublich. Man weiß seit Januar davon und denkt im September so weit zu sein. Unfassbar dieses Tempo bei KD. Müssen aufpassen, dass ihnen nicht schwindelig wird…

  6. Die App ist eh fast nicht zu gebrauchen. Wird wirklich lange Zeit, dass sie ein Update machen.

  7. So lange es keine gesetzlichen Regeln dafür gibt, können die Unternehmen machen, was sie wollen. Man stellt sich das mal vor: Da hat dieser Drecksladen über ein halbes Jahr Zeit, einen so einfach zu beseitigenden Fehler zu beheben, und es passiert nichts. Ich gehe einfach mal davon aus, dass man auf der Webseite auch personenbezogene Daten sehen kann. Und ich gehe auch davon aus, dass Man-In-The-Middel gar nicht notwendig ist, ein wenig Netzwerkverkehr (beispielsweise im WLAN) mitsniffen reicht vollkommen aus. Warum haften sie dafür nicht? Das muss richtig böse Geld kosten!

    Da muss ein gesetzlicher Ramen her, der Unternehmen für den Umgang mit personenbezogenen Daten für solche Dinge haftbar macht. Für mich muss da eine einstweilige Verfügung her, der dem Laden den Betrieb dieses Dienstes untersagt, mit sofortiger Wirkung. Eventuell laufen dann ein paar Kunden Amok, da sie diesen Dienst gerne nutzen würden (kenne ihn zugegebener Maßen nicht, er scheint aber nicht allzu wichtig zu sein). Dann entstünde der notwendige Druck. Verbunden mit Kosten, wäre KD eventuell motiviert, so einen Unfug zu unterlassen. Und das wäre eventuell auf andere Anbieter abschreckende Wirkung haben, und man würde bei der Implementierung der ersten Testversion gleich an eine vernünftige Authentifizierung denken. Das gibt es seit Jahrzehnten, fertig, kann man in der Wikipedia nachlesen, wie man sowas richtig macht, dass kann ein Besucher der Einführung in Informatik an jeder zweiten deutschen Hochschule besser!

    Eigentlich bräuchte es eine Sammelklage aller Kunden von KD, die diese App angeboten bekommen haben!

  8. Ich hoffe auch das die App mal aktualisiert wird und mal abgesehen von den Sicherheitsproblemen endlich mal stabil läuft!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.