DSL-Anbieter

O2: Sicherheitslücke erlaubt Kapern von VoIP-Anschlüssen

Eine Sicherheitslücke im DSL-Netz von O2 ermöglicht den Missbrauch von VoIP-Telefonanschlüssen. Das Problem ist seit Herbst 2014 noch nicht vollständig gelöst.

Speed-Bremse: O2 drosselt DSL-Leitungen ab Oktober

© o2

O2 – Logo und Bild

Im Oktober 2014 informierte der Aachener Sicherheitsforscher Hanno Heinrichs das Unternehmen O2 über eine Sicherheitslücke im DSL-Netz, mit der Angreifer VoIP-Telefonanschlüsse kapern und missbrauchen konnten.

Das Unternehmen hat die Lücke daraufhin innerhalb eines Tages geschlossen. Ein Restrisiko bestehe jedoch weiterhin, wie heise.de berichtet. Wie O2 uns mitteilte, sei dies jedoch theoretischer Natur.

Der genannte Sicherheitsforscher fand heraus, dass die VoIP-Zugangsdaten des O2-Anschlusses per TR-069-Client vom "Auto Configuration Server" (ACS) auslesbar waren. An sich wäre dies kein Problem, doch der Router übertragt zunächst die externe IP-Adresse des Kunden an den ACS.

Heinrichs entdeckte dadurch, dass der Client so die Zugangsdaten jedes Kunden abgreifen konnte, solange dessen von O2 zugeteilte IP-Adresse bekannt war. Derartiges Ausspähen von Zugangsdaten ist seit Herbst 2014 nicht mehr möglich, eine Gefahr bestehe nur noch im lokalen Netz. Entsprechende Angriffe könnten laut O2 über Trojaner und andere Schädlinge stattfinden, halten Sie sich daher an gängige Sicherheitsregeln und bringen Sie Ihr Antivirenprogramm auf dem aktuellen Stand. O2 arbeitet weiterhin daran, die Sicherheitslücke endgültig zu schließen. Innerhalb des ersten Quartals 2016 soll ein entsprechendes Update folgen.