Telekom-Router mit schwerer Sicherheitslücke

Nachdem letztens Vodafones Easyboxen negative Schlagzeilen machten, da sie offen wie ein Scheunentor waren, trifft es heute einen Telekom-Router, genauer gesagt den Speedport W921V. Schaut mal bei euch unter den Tisch, ob ihr diesen besitzt, die Telekom hat ja einige hunderttausend davon in die Freiheit entlassen. Beim Speedport W921V ist das WLAN ab Werk durch einen WPA2-Schlüssel gesichert.

Und von den beiden Verfahren zur einfachen Anbindung von Clients ist laut Konfiguration nur „WPS Push Button“ aktiv, das unsichere WPS mit PIN ist abgeschaltet, berichtet Heise. Ob die Methode abgeschaltet ist oder nicht, macht aber keinen Unterschied, wie ein Besitzer des Routers im Telekom-Forum berichtet:

1. Ob im Routermenü des Speedport W921V bei WPS die Push-Button-Methode oder die PIN-Methode eingestellt ist spielt keine Rolle.
2. Einen WPS-fähigen USB-Wlan-Stick nehmen (zB. TP-Link WN821N).
3. Im dazugehörigen Tool die PIN eingeben.
4. Nach 2 Sekunden ist die WPA-2 Verschlüsselung ausgehebelt und der Wlan-Schlüssel an den Client übermittelt. Dem freien Zugang zum Internet bzw. Netzwerk steht nichts mehr im Wege.  So einfach ist das! Dank Default-Pin im Router mit den Firmwareversionen 1.44 und 1.16!

Ein potentieller Angreifer muss also nur die Standard Pin herausfinden – Google sei Dank – und ist in eurem Netzwerk. Abhilfe? Bislang keine, es gibt keine aktualisierte Firmware & keine Stellungnahme der Telekom. Es hilft bislang nur: WLAN aus. Klingt komisch – ist aber so. Also: Freunde informieren, die den Speedport W921V nutzen!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Da du gerade den WLAN Stick anspricht TP-Link WN821N ist der gut?

  2. Ich hab das WLAN bei meinem W921V SCHON ausgeschaltet – sicher ist sicher,

    Gott sei Dank kann ich das ohne Probs, weil ich alles verkabelt habe…

  3. Lässt sich das WLAN denn überhaupt abschalten oder ist das auch defaultmäßig immer auf ON?

  4. Da ist die Frage ob das Problem auch besteht wenn man die WLAN-Zugangsbeschränkung eingeschaltet hat?

  5. @Horst: da mußte in die Konfig rein und abschalten. OB das abgeschaltet ist, siehste dann vorne am Router – das Lämpchen für WLAN muß aus sein.

  6. Könnte man da nicht auch eine Zugangsbeschränkung über MAC-Adresse einrichten ?

  7. Gilt das explizit nur für diesen Speedport oder auch für andere?

    Und iwe Tim schon frage, brignt Mac-Addy Sicherung etwas?

  8. @Tim, kannst du machen, du kannst auch die SSID verstecken, man kann es aber auch sein lassen. Ernsthafte Sicherheit bringt beides nicht.

  9. Das brachte mich gerade dazu, mich zu bücken,
    meinen Telekomiker-Router in die Hand zu nehmen und nachzuschauen, was das für einer ist.
    Sofern das nicht auch für andere Router von denen gilt,
    bin ich beruhigt, denn ich habe KEINEN W921V.

  10. Whistleblower says:

    Damit Ihr nicht alle solange suchen müßt:

    http://lmgtfy.com/?q=wps+pin+speedport oder auch 12345670

  11. Hä? WPS kann man doch deaktivieren?! Dann ist das Problem doch obsolet?
    Jedenfalls hab ich WPS auf meinem W723V deaktiviert und den standard-WPA2-Schlüssel direkt geändert..

    Irgendjemand der da für Klarheit sorgen kann?

  12. Ny Alesund says:

    W920V safe. alles klar!

  13. leosmutter says:

    @Tim

    Die MAC-Adresse kann man ohne Probleme ändern/spoofen. Das ist keinerlei Sicherheit. Nimm WPA2 und ein langes Passwort.

  14. @Dom:
    Das ist ja gerade einer der Witze, es ist egal, ob im Menü WPS mit PIN deaktiviert ist, es ist nämlich stets an! Einzige Möglichkeit es zu deaktivieren ist WLAN zu deaktivieren.

    Und warum es eine Default-PIN gibt, ganz ehrlich, wenn wir nicht mit so unglaublich IT-inkompetenten Politikern gesegnet wären, müssten wir eigentlich schon Gesetzte haben, die solche „LÜCKEN“ mit hohen Geldstrafen ahnden. Von einer Lücke kann man ja bei sowas NICHT ausgehen, sowas ist absicht oder zuminidest grobfahrlässig.

    My 2 cents.

  15. Bei der Easybox Geschichte hilft es den aufgedruckten Key zu ändern. Laut heise ist das hier NICHT DER FALL. Das einzige was hier wirklich hilft ist das WLAN komplett zu deaktivieren!

  16. Es ist wirklich unglaublich was manche Hersteller für eine Scheisse abliefern. Jahrelang gar keine (default)Verschlüsselung. Dann probieren sie es, und dann kommen ständig solche knallerlücken -.-

  17. Also beim W920v, der bei mir als Wlan AP läuft gehts es definitiv nicht,gerade ausprobiert.
    Für mich absolut unverständlich ist die Informationspolitik der Telekom,zumal das Problem schon seit Nov.2011 bekannt ist.Bin echt gespannt wann gefixt wird!

  18. @SvenS

    Hier mal eine Hilfe-Seite direkt von der Telekom zu dem Thema.
    http://www.telekom.com/verantwortung/datenschutz-datensicherheit/100568

    Es ist also genau wie ich es gesagt (und auch gemacht habe): WPS im Webinterface DEAKTIVIEREN und man ist safe! Und ich meinte auch im obigen Post die Deaktivierung von WPS und nicht die Deaktivierung des PIN-Verfahrens oder so. Diesem WPS Rotz traue ich sowieso nicht. Ich achte normalerweise immer sehr genau darauf, was standardmäßig im Router alles so „an“ ist und habe daher bei der Einrichtung des Routers schon direkt WPS deaktiviert…
    Ansonsten bin ich mit WPA2 ja gut abgesichert… – noch.

  19. @JürgenHugo: Gibts denn beim W921V noch den WLAN-Taster auf der Rückseite? Beim W722V gibt’s auf der Rückseite einen kleinen Taster mit dem man das WLAN ganz fix ausbekommt.

  20. @Dom: Dein Link bezieht sich aber auf den W723V, hier gehts grad um den W921V.

    Zitat: „Nur der Speedport W 723V Typ A ist von dem Fehler betroffen.“

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.