Unitymedia warnt: Standard-Passwörter der Router lassen sich auslesen
von caschy | 18 Kommentare
Vor ein paar Tagen hat Unitymedia das ehrgeizige Projekt WiFiSpot beim Kunden gestartet. Freies WLAN für Kunden, die ebenfalls ihr Netz freigeben. Für Nutzer, die davon Gebrauch machen und einen Nutzen haben – nett. Doch Unitymedia informiert derzeit, dass man vielleicht das voreingestellte Router-Passwort ändern solle. In diese Falle sind schon zahlreiche Anbieter getappt. Nutzer, die beim voreingestellten Passwort bleiben, laufen Gefahr dass Angreifer sich in ihr WLAN einloggen und so vielleicht auf sensible Daten Zugriff haben. Das Perfide: Es scheint sehr leicht zu sein, den Key eines solchen Unitymedia-Routers auszulesen – selbst im Google Play Store gibt es eine App, die es leicht (!) möglich macht. Unitymedia hat eine FAQ veröffentlicht, wie man bei den jeweiligen Geräten das Passwort ändert. Solltet ihr selbst betroffen sein oder Bekannte und Verwandte haben, so informiert sie vielleicht. Gibt genug Kiddies, die nun mit Android-Smartphone und der App durch die Stadt spazieren.
Unitymedia auf Facebook: bitte ändert dringend Euer WLAN-Passwort. Wir haben Kenntnis davon, dass werkseitig voreingestellte Passwörter auf WLAN-Geräten (Routern) mit spezieller Software und technischen Kenntnissen aufgedeckt werden können. Wenn Ihr noch immer das Passwort nutzt, dass auf der Rückseite Eures Gerätes aufgedruckt ist, ändert es umgehend.
[/color-box]
Wird geladen ...
Und wieso kann man überhaupt vom Gäste WLAN aus auf die Routeradministration zugreifen? Das sollte ein Privileg des internen Netzes bleiben…
Das beste wird wohl sein das private WLAN an dem Unitymedia-Router abzuschalten und dahinter einen eigenen WLAN-Router zu klemmen. Mit diesem kann man dann vollkommen isoliert ein WLAN aufbauen und alles wird gut – oder was meint Ihr?
Haha, hast Du die Anleitung für die geschrieben?
„In unserem Beispiel verwenden wir den Netzwerkschlüssel: DMwndBvB2016“
Geht es jetzt um das Router-Passwort für den Zugang zur Administration oder das Wlan-Passwort? Facebook-Zitat und Artikel sind etwas widersprüchlich.
@Philipp
Es geht um das Wlan-Passwort am Router, aber zusätzlich empfiehlt es sich auch das Passwort der Router-Administration zu ändern, weil das voreingestellt immer „admin“ ist.
Danke an Klaus für eine Quellenangabe, auf Facebook bei Unitymedia findet sich nichts (edit: die Meldung ist bei „Unitymedia Hilfe“ gelistet) und Alex referenziert Caschy als Quelle und vice versa. Das ging schonmal besser.
@Boo
du willst doch nicht die Kompetenz der unendlichen Testzeremonie-Meister von Unitym. in Frage stellen 🙂
Die schaffen es nicht ihren Kunden Zwangsrouter so zu konfigurieren, dass die WLAN Passwörter sicher sind? Warum dann überhaupt noch Zwangsrouter wenn der geneigte Kunde sich auch noch regelmäßig selbst drum kümmern muss was UM so auf Facebook oder auf der Hilfeseite vekündet?
Anders gefragt – warum ändert UM die Kennwörter nicht per Fernwartung und schreibt die Kunden vorher direkt an? Ist das zu teuer?
@gilbert. So habe ich es gemacht. Zusätzlich habe ich an den Unitymedia-Router (ich habe nicht den angesprochenen „Standardrouter“ sondern einen „AVM 6360 Cabel“) zunächst eine Hardware-FireWall (mit IPCop) gehängt und habe damit drei Netzwerke: Ein „rotes“ für Internet (niemand kommt von draußen an mein Hausnetz), ein „grünes“ für mein Hausnetz (dieses gelangt via IPCop ins Internet) und ein „blaues“ Gastnetz. An letzterm hängt eine „AVM 7490“ und managed mein WLAN. Gäste können via WLAN ins Internet, sie gelangen aber nicht in mein Hausnetz. Hat allerdings das Problem, dass ich mit WLAN-Geräten auch nicht ins Hausnetz komme. Klappt seit über drei Jahren wunderbar und ich muss mir keine Gedanken mehr machen… (ab und an wird aber kontrolliert!)
Übrigens ist es ein „uralter Hut“, dass man Standardpassworte der Hersteller sofort ändert! Es gab mal eine „Software“, die hat die Standardpassworte der Hersteller „verwaltet“ und man konnten nachschlagen….
Es betrifft ja nicht nur die Router von Unitymedia. Es sind noch eine ganze Reihe anderer Typen betroffen. Und diese kommen in ganz Deutschland vor. Zusammen mit einer Android-App ( die gibt es schon eine ganze Weile), kann man für fast alle betroffenen Geräte das WLAN-Passwort ermitteln.
Obwohl schon eine halbe Ewigkeit her, findet man an fast jeder Straßenecke noch immer betroffene Easyboxen von Vodafon!
Ich sehe hier ganz klar die Provider in der Pflicht. Wenn diese eine solche Lücke in den von ihnen vertriebenen Geräten haben, haben diese die Lücke verdammt noch mal sofort via Zwangsupdate zu fixen. Und bis zur neuen Firmware sind alle betroffenen Kunden direkt zu informieren!
@friddes
Meine Güte was für ein Aufwand, man kann’s auch übertreiben.
Man könnte meinen du wohnst in Fort Knox.
Ein sicheres Passwort reicht dem normalen User doch im Allgemeinen vollkommen aus.
Die NSA wird trotzdem wissen, wo du wohnst. 🙂
Ist das Problem nicht eigentlich schon seit mehreren Monaten bekannt oder sind nun neue Geräte dazu gekommen?
Betrifft das hier nicht nur diese dämliche Horizonbox (Samsung Crapware halt) und das Ubee, das eher selten bei UM zum Einsatz kommt?
Die Horizonbox ist bei uns auf jeden Fall offline und funktioniert nur als Receiver, das sogar sehr gut bis auf die Hitzeentwicklung und dadurch teilweise Lautstärke (wobei uns das nicht wirklich stört).
Die Connectbox, die wider Erwarten ausreichend gut ist und heute Standard bei UM ist, ist nicht angreifbar dadurch bzw. wird nicht unterstützt von der Keygen App.
@BeardMan: Mag ja übertrieben sein, was ich so treibe. Ich teste nun mal gerne. Ich hatte mich damals geärgert, dass die KabelProvider die Router remote verwalten und ich entsprechend keine Möglichkeiten habe, z.B. die Firmware meinerseits zu pflegen. Nun, da habe ich halt mal umgeschaut und meine Lösung gefunden. Das hat nichts damit zu tun, dass ich die SchlappHüte aussperren will/wollte. Ich will es denen nur schwerer machen. Natürlich „kennen die mich“….
@friddes
Ah ja IPcop ist ne feine Sache, hatte ich ca. 2009-2011 auch mal am laufen. In letzter Zeit habe ich auch schon ein paar mal überlegt ob ich mir wieder so eine Kiste hinstelle.
Naja, es geht um das Werks-Passwort. Und bei welchen Routern? Die Web-Oberfläche von der neuen Connectbox ist jedenfalls sehr übersichtlich, so das es fast jedem möglich sein sollte das Passwort zu ändern. Sehe jetzt nicht das große Problem, zumal man auch in der Inbetriebnahmeanleitung dazu aufgefordert wird.
Die Sicherheitslücke hat doch rein gar nichts mit dem „Unitymedia WiFiSpot Projekt“ zu tun, oder missverstehe ich das?
Ihr habt schon mal weniger missverständliche Artikel geschrieben 🙂
@Tom:
Wie kommen etwaige Angreifer denn auf deine Box, wenn nicht über den WiFiSpot?