Thema: FON mit unsicheren Logins?

[SiLæncer]

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen

Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.

Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der "pcap-recorder" steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.

Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router "La Fonera" zu tun gehabt.

"Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online", so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.

FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen.

Quelle : www.golem.de

[SiLæncer]

Durch einen Implementierungsfehler im Authentifizierungsprozess der "größten WLAN-Community der Welt" FON ist es möglich, die Anmeldedaten von Teilnehmern auszuspähen. FON ist ein weltweiter Zusammenschluss von Anwendern, die ihren Breitbandzugang mit anderen, etwa gerade reisenden FON-Mitgliedern teilen. Ein "Fonero" kann nur werden, wer selbst einen FON-Zugang über einen speziellen Access Point anbietet. Durch die Schwachstelle können Angreifer in den Genuss eines kostenlosen WLAN-Zugangs zum Internet kommen, obwohl sie selbst nicht Mitglied der Community sind.

Das Problem beruht auf einem Redirect des Anmeldeservers von FON während des Log-ins, der Teile von Daten, die zuvor per sicherem SSL übertragenen wurden, unverschlüsselt per herkömmlichem HTTP an den Nutzer zurücksendet. Dazu gehören der Nutzername sowie eine Passwort-Challenge. Die Passwort-Challenge ist zwar verschlüsselt, laut Foreneinträgen zu dem Sicherheitsproblem auf den Support-Seiten von FON ist der Algorithmus aber bekannt und der Schlüssel auf allen Routern der gleiche und leicht aus der Firmware zu extrahieren. Damit ließe sich ein per WLAN-Sniffer mitgeschnittenes Passwort relativ leicht ermitteln. Da die FON-Hotspots für alle Foneros zugänglich sein sollen, sind sie nicht mit WEP oder WPA gesichert. Für die sichere Übertragung der Daten muss also der Teilnehmer – abgesehen von der Log-in-Prozedur – selbst sorgen.

Der Entdecker der Lücke, Frederik Kriewitz, hat eine Demo online gestellt, die mit Wireshark erstellt, pcap-Dateien nach Log-in-Daten durchsucht. FON soll die Lücke bereits bestätigt haben und an einer Lösung arbeiten.

Quelle und Links : http://www.heise.de/security/news/meldung/78399