Sicherheitslücken in VoIP-Telefonen entdeckt

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: Fraunhofer SIT
Veröffentlicht von SecuPedia-Redaktion am 14. August 2019.

Darmstadt, 14.08.2019 - Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben in VoIP-Telefonen insgesamt 40 „teils gravierende“ Schwachstellen gefunden. Angreifer können über diese Lücken Gespräche abhören, das Telefon außer Betrieb setzen oder sich über Schwachstellen im Gerät weiteren Zugriff auf das Firmennetzwerk verschaffen, berichtet dazu Fraunhofer SIT. Die Hersteller der VoIP-Telefone seien informiert und hätten die Schwachstellen mittlerweile geschlossen. Nutzern werde dringend empfohlen, die entsprechenden Updates der Geräte-Firmware einzuspielen. Die Ergebnisse ihrer Untersuchungen haben die Forscher am Samstag (10.8.2019) auf der DEFCON in Las Vegas vorgestellt, eine der weltweit größten Hackerkonferenzen.

Die Sicherheitsexperten des Fraunhofer SIT haben den Angaben zufolge insgesamt 33 VoIP-Telefongeräte von 25 verschiedenen Herstellern auf Lücken und Schwachstellen geprüft. Dafür haben sie die webbasierten Benutzeroberflächen der Geräte untersucht, über die Administratoren die Telefone konfigurieren können. „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten“, erklärt Stephan Huber, einer der an der Untersuchung beteiligten Forscher.

Eine Schwachstellenart sei so schwerwiegend gewesen, dass es den Sicherheitsforschern gelungen sei, die komplette administrative Kontrolle über das VoIP-Telefon zu erlangen. „Das ist ein Sicherheitstotalausfall“, so Fraunhofer SIT-Wissenschaftler Philipp Roskosch, der ebenfalls an der Untersuchung beteiligt war. Hierüber könnten Angreifer auch andere Geräte manipulieren, die sich im selben Netzwerk befinden, wie weitere VoIP-Telefone, Rechner oder auch Produktionsmaschinen. Dieser Angriff sei bei sieben Geräten möglich gewesen. Ein weiteres Angriffsszenario war demnach eine Denial-of-Service-Attacke, die die VoIP-Telefone außer Gefecht setze.
Dies ist beispielsweise für Kundenhotlines, etwa von Banken oder Versicherungen, geschäftsschädigend“,
erläutert Fraunhofer SIT.

Weitere technische Details zu den Schwachstellen finden sich unter www.sit.fraunhofer.de/cve.

Kategorien E-Mail Service konfigurieren

  • Datenschutz / Datensicherheit
  • Hochschulen, Forschung, Ausbildung

Benutzergruppe

  • Alle Benutzer