Hersteller haben Schwachstellen mittlerweile geschlossen

[datensicherheit.de, 14.08.2019] Hacker können offenbar auch über Telefongeräte an sensible Daten und Dienste gelangen, denn die meisten Unternehmen nutzen VoIP-Telefone, die ins Firmennetzwerk eingebunden sind. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben nach eigenen Angaben in diesen VoIP-Telefonen „insgesamt 40 teils gravierende Schwachstellen gefunden“.

Abbildung: Fraunhofer SIT

SIT empfiehlt Nutzern, die entsprechenden Updates der Geräte-Firmware einzuspielen

SIT-Forscher stellten Erkenntnisse am 10. August 2019 auf der „DEFCON“ vor

Angreifer könnten über diese Lücken Gespräche abhören, das Telefon außer Betrieb setzen oder sich über Schwachstellen im Gerät weiteren Zugriff auf das Firmennetzwerk verschaffen. Die Hersteller der VoIP-Telefone haben die Schwachstellen aber laut SIT mittlerweile geschlossen.
„Nutzern wird dringend empfohlen, die entsprechenden Updates der Geräte-Firmware einzuspielen.“ Die Ergebnisse ihrer Untersuchungen hätten die SIT-Forscher am 10. August 2019 auf einer der weltweit größten Hacker-Konferenzen, der „DEFCON“, vorgestellt.

Getestete Geräte schon lange auf dem Markt

Die SIT-Sicherheitsexperten haben demnach „insgesamt 33 VoIP-Telefongeräte von 25 verschiedenen Herstellern auf Lücken und Schwachstellen geprüft“. Dafür hätten sie die webbasierten Benutzeroberflächen der Geräte untersucht, über welche Administratoren die Telefone konfigurieren könnten.
Von den Ergebnissen seien selbst die Sicherheitsexperten überrascht gewesen: „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten“, sagt Stephan Huber, einer der an der Untersuchung beteiligten Forscher.

Denial-of-Service-Attacke könnte VoIP-Telefone außer Gefecht setzen

Eine Schwachstellenart sei so „schwerwiegend“, dass es den Sicherheitsforschern gelungen sei, „die komplette administrative Kontrolle über das VoIP-Telefon zu erlangen“. Dies sei „ein Sicherheitstotalausfall“, so der ebenfalls an der Untersuchung beteiligte SIT-Wissenschaftler Philipp Roskosch. Hierüber könnten Angreifer auch andere, im selben Netzwerk befindliche Geräte manipulieren, wie weitere VoIP-Telefone, Rechner oder auch Produktionsmaschinen. Dieser Angriff sei bei sieben Geräten möglich gewesen. Ein weiteres Angriffsszenario sei eine Denial-of-Service-Attacke, um die VoIP-Telefone außer Gefecht zu setzen. Dies sei beispielsweise für Kunden-Hotlines, etwas von Banken oder Versicherungen, geschäftsschädigend.
Die Sicherheitsforscher hätten alle Hersteller der untersuchten VoIP-Telefone über die gefundenen Schwachstellen informiert – „diese haben alle reagiert und die Lücken geschlossen“. Die SIT-Experten raten deshalb allen Nutzern, „die eigenen Geräte aktuell zu halten und auf Updates für die Geräte-Firmware zu achten“.

Weitere Informationen zum Thema:

Fraunhofer SIT
CVE-Einträge, Security Advisories und Bulletins / Auflistung von Schwachstellen und Sicherheitslücken

datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig

datensicherheit.de, 11.09.2018
Fraunhofer SIT zur Fälschung von Webzertifikaten

datensicherheit.de, 15.11.2012
Grundsteinlegung für Erweiterungsbau des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt

[datensicherheit.de, 03.08.2016] In einer Mitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Maja Smoltczyk, wird auf die Verabschiedung eines Arbeitspapiers zu Privatsphäre- und Sicherheitsaspekten bei Internettelefonie (Voice over IP – VoIP) und ähnlichen Kommunikationstechnologien, wie z.B. „Instant Messaging“ und Video-Telefoniediensten, eingegangen: Die von ihr geleitete Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation war zu ihrer 59. Sitzung am 24. und 25. April 2016 in Oslo (Norwegen) zusammengekommen.

Empfehlungen betreffen alle Arten von Multimedia-Angeboten

Dieses Arbeitspapier enthalte Empfehlungen zur Verbesserung des Schutzes der Privatsphäre und der Datensicherheit bei diesen Diensten für alle relevanten Akteure – Gesetzgeber und Regulierungsbehörden, VoIP-Anbieter, Softwareentwickler, Hardwarehersteller und Nutzer.
Die Empfehlungen betreffen demnach „alle Arten von Multimedia-Angeboten“ sowohl traditioneller Telekommunikationsanbieter als auch von sogenannten „over-the-top“-Anbietern.

Herausforderungen für Privatsphäre und Datensicherheit

Das neue Arbeitspapier „Aktualisierung zu Privatsphäre- und Sicherheitsaspekten bei Internettelefonie (Voice over IP – VoIP) und ähnlichen Kommunikationstechnologien“ ergänze die in einer früheren Veröffentlichung enthaltenen Empfehlungen – vor zehn Jahren habe die Arbeitsgruppe ein Arbeitspapier zu Internettelefonie-Anwendungen veröffentlicht, in dem die Herausforderungen durch solche Anwendungen für die Privatsphäre und die Datensicherheit untersucht worden seien. Seitdem habe die Internet-Telefonie weitverbreitete Anwendung in Organisationen und bei Endnutzern gefunden.
Die erneute Bewertung sei durch verschiedene Entwicklungen in der Zwischenzeit motiviert worden, einschließlich der Enthüllungen von Edward Snowden über das Ausmaß des Zugriffs von Sicherheitsbehörden und Geheimdiensten auf Internetdienste, Fortschritte bei den Standardisierungsprozessen und die Entwicklung von Mobilfunktechnologien sowie WiFi-Netzwerken mit großer Bandbreite.

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
International Working Group on Data Protection in Telecommunications (IWGDPT)

[datensicherheit.de, 13.07.2012] Je besser die Spam-Erkennung, desto lieber greifen die Online-Gangster auf ein bewährtes Kommunikationsmittel zurück, das Telefon. Unter Nutzung von „Voice over IP“ (VoIP) starten sie massenhaft Anrufe, tarnen sich mit einer legitimen Telefonnummer einer Bank und fordern das arglose Opfer auf, eine gefälschte Kundendienstnummer anzurufen. Wer auf den Trick hereinfällt und wählt, wird gebeten, Konto- und PIN-Nummer oder Kennwörter für das Online-Banking preiszugeben. Da hilft auch keine Technik mehr, sondern nur noch ein klärender Anruf bei der eigenen Bank.
Da es noch keine zuverlässige Erkennung von Spam-Anrufen gibt, treffen Phishing-Angriffe über Voice over IP, kurz Vishing genannt, auf das schwächste Glied der Sicherheitskette, den Anwender. Da der Anrufer sich als seriöser Bankangestellter ausgibt, der das potenzielle Opfer vor der Sperrung des Kontos warnt, ist leider damit zu rechnen, dass viele Menschen auf die Masche hereinfallen werden.

Was Anwender tun können Anwender

Wer den Betrug und seinen eigenen Fehler bemerkt, sollte umgehend zur Polizei gehen und Anzeige erstatten. Außerdem sollten die eigene Bank und die Telefongesellschaft über den Vorfall informiert werden. Dabei sind genaue Angaben zu Uhrzeit und eventuell angezeigter Telefonnummer des Anrufers sowie sämtliche Gesprächsdetails wichtig.

Der wichtigste Tipp lautet jedoch: Bei einem verdächtigen Anruf sofort den Hörer wieder auflegen. Denn ein echtes Finanzinstitut wird einen Kunden niemals am Telefon nach persönlichen Informationen oder Kennwörtern fragen.