Kabel Deutschland: Problem mit App „Programm-Manager“ – Manipulation möglich

News vom 03.09.2014

Gestern wurde bekannt, dass Nutzerdaten der App „Programm-Manager“ von Kabel Deutschland nicht sicher sind: Wer Schaden anrichten will, soll sogar den Kabelanschluss der betreffenden Kunden übernehmen können …

Die Programm-Manager-App von Kabel Deutschland wird für mobile Endgeräte mit Android und iOS als Betriebssystem angeboten. Derzeit sind die Daten, die bei der Nutzung dieser App übertragen werden, nicht sicher.

Zum Beispiel werden laut heise.de die Daten des Nutzers beim Einloggen ungesichert im Klartext übertragen: ein Vorgang, der grob fahrlässig ist. Nutzername und Passwort müssten eigentlich via HTTPS-Verbindung – „HTTPS“ steht für „HyperText Transfer Protocol Secure“, was auf Deutsch so viel heißt wie „Sicheres Hypertext-Transferprotokoll“ – an Kabel Deutschland gesendet werden.

Grob fahrlässig ist das Ganze deshalb, weil mögliche Angreifer die Daten einsehen und damit die Kontrolle über den Kabel-Deutschland-Anschluss des App-Nutzers erlangen können.

Worst-Case-Szenario
Wenn ein potenzieller Angreifer die Daten mitschneiden wolle, dann brauche er nicht einmal im gleichen Netz online zu sein: Surft sein Opfer über einen öffentlichen Hotspot im WWW, soll es ausreichen, „in Funkreichweite passiv die unverschlüsselten WLAN-Pakete mitzuschneiden“.

Mit den geklauten Daten kann es möglich sein, sich in das Kundenkonto des Opfers bei Kabel Deutschland einzuloggen, unter anderem mit Zugriff auf Buchungsmöglichkeiten, Cloud-Speicher und E-Mail-Konto.

Im schlimmsten Fall wird eine Rufumleitung auf eine sogenannte Premium-Rufnummer eingerichtet. Danach wird die Festnetznummer des Datendiebstahlopfers angerufen. „Die Kosten für die teure Umleitung landen auf der Rechnung des Anschlussinhabers“, so heise Security.

Wann kommt das Sicherheits-Update für den Programm-Manager?
Auf das Problem mit den unverschlüsselten Kundendaten sei Kabel Deutschland bereits Anfang 2014 vom Consultant Peter Hämmerlein hingewiesen worden. Da der Telekommunikationsanbieter nicht auf diesen Hinweis reagiert habe, wurde heise Security von Hämmerlein über das Datenleck informiert.

„Wir konnten das Problem auf Anhieb verifizieren und informierten den Provider erneut. Das Unternehmen erklärte, dass der Sachverhalt bekannt sei: ,Kabel Deutschland bereitet daher derzeit die Aktivierung der Verschlüsselung der Kommunikation zwischen App und Server vor‘, erklärte ein Unternehmenssprecher gegenüber heise Security.“

Mitte September 2014 sollen dann die Komponenten zur Aktivierung der Verschlüsselung bei Kabel Deutschland aktiviert werden.

Tipp: Bis dahin sollte der Programm-Manager nicht genutzt werden. Wer die App nutzt beziehungsweise genutzt hat, sollte sein Passwort ändern.

Offizielles Update von Kabel Deutschland vom 5. September 2014: „Kabel Deutschland hat mit Hochdruck an einer Lösung der Problematik gearbeitet. Es wurde eine permanente Umleitung auf https eingeführt, so dass die Kommunikation nach dem Verbindungsaufbau jederzeit verschlüsselt erfolgt und insbesondere sensible Daten wie Login-Daten verschlüsselt übertragen werden. Damit die Änderungen bei allen Benutzern greifen, soll ein Neustart des Gerätes zur Sicherheit durchgeführt werden. Darüber hinaus bereitet Kabel Deutschland eine Aktualisierung für die iOS- und Android-Apps, die voraussichtlich Mitte September in Abhängigkeit der Freigabeprozesse der App-Stores veröffentlicht wird.“

(mb/teledir)
Empfehlen Sie diese News weiter
Bleiben Sie auf dem Laufenden:

Tipps:

Weitere News:

Schreiben Sie einen Kommentar
Ihr Name

Ihre E-Mail (wird nicht angezeigt)

Ihre Webseite (optional)

Ihr Kommentar

Tarife vergleichen
Nutzen Sie hierfür die Vergleichs-Button neben oder unter den einzelnen Tarifen.
Handytarife
    0 Tarife ausgewählt » Jetzt vergleichen!
    Internettarife
      0 Tarife ausgewählt » Jetzt vergleichen!
      0