Sicherheitslücke in Compal und Hitron Geräten

[koaschten]

http://www.heise.de/newsticker/meldung/ ... 66037.html

Vodafone hat bei den Router-Herstellern Firmware-Updates eingefordert, welche die Sicherheitsprobleme durch das Abschalten der verwundbaren Funktion beseitigen sollen. Das Unternehmen hat nach eigenen Angaben bereits damit begonnen, die Updates zu verteilen. Bis Jahresende sollen 1,3 Millionen Router mit der abgesicherten Firmware versorgt sein. Kunden mit CBN-Routern können selbst aktiv werden, indem sie das anfällige WPS-Verfahren im Web-Interface deaktivieren ("Gateway" / "WLAN" / "WPS"). Beim CVE-30360 hilft laut Vodafone das Aktivieren der Push-Button-Methode (PBC).

Dass der Router bereits auf dem neuen Firmware-Stand ist, soll man daran erkennen können, dass im Web-Interface nicht länger die WPS-PIN-Funktion angeboten wird. Wer auf Nummer sicher gehen will, verzichtet auf die WLAN-Option und betreibt hinter der Provider-Hardware einen eigenen Access-Point – das spart langfristig auch noch Geld.

[Besserwisser]

Welche Lobby will denn hier durch das geforderte Abschalten oder Wegbuchen
der internen WLAN-Funktion der betroffenen Geräte
die Bereitstellung von Vodafone/KD-Hotspots verhindern?

[mattb]

Die "ich will keine Sicherheitslücken" Lobby?!

[Besserwisser]

Die "ich will keine Sicherheitslücken" Lobby?!

Es steht doch im Link, wie man die abschalten kann.
Aber deshalb muß man doch nicht gleich das ganze WLAN kündigen, wie empfohlen.
Wer garantiert dir, daß ein externer WLAN-Router keine Angriffspunkte hat?
Vielleicht wird das Sicherheitsproblem dann nur verschoben, aber nicht beseitigt.

[mattb]

Das garantiert mir niemand, aber a) legt ein anderer Hersteller vielleicht etwas mehr Tempo vor und lässt sich keine zwei Monate Zeit und b) kommt vielleicht bei manchen die Erkenntnis, dass man im Jahr 2015 für WLAN nichts mehr extra bezahlen muss.

[Knidel]

Aber deshalb muß man doch nicht gleich das ganze WLAN kündigen, wie empfohlen.

Der Autor hat ja zwei Möglichkeiten genannt. WLAN kündigen ist nur die eine.

[Besserwisser]

Übrigens würde ich mal nicht so auf die Compal-Modems meckern.
Die werden bald für ganz bestimmte Anwendungsfälle seeeehr begehrt sein.

[Fabian]

Die werden bald für ganz bestimmte Anwendungsfälle seeeehr begehrt sein.

Zur Fehlersuche für das Service Personal.

[Kordi]

Ich verstehe jetzt das Problem nicht. Die betroffenen Geräte sind alles in Eigentum von VF/KDG. Diese Firma wollte doch Zwangsrouter. Demnach liegt es in der Verantwortung von VF/KDG zu handeln, und bei einem eingetretenen Schaden in vollen Umfang zu haften. Ich wüsste nicht, wieso der Kunde jetzt aktiv werden soll. Wenn mein VW nicht normkonforme Abgaswerte liefert, dann haftet dafür ja auch VW. Der Kunde kann nicht mal eben das Motormanagement patchen. Genauso wenig kann ein Internet-Noob, der den VF/KDG Installationsservice genutzt hat, irgendwelche Einstellungen im Modem ändern oder Patches einspielen. Das soll mal schön VF/KDG machen

[reneromann]

Ich verstehe jetzt das Problem nicht. Die betroffenen Geräte sind alles in Eigentum von VF/KDG. Diese Firma wollte doch Zwangsrouter. Demnach liegt es in der Verantwortung von VF/KDG zu handeln, und bei einem eingetretenen Schaden in vollen Umfang zu haften.

Wenn der Schaden sich auf die defekte Firmware zurückführen lässt -> ja.
Denn KD muss es sich hierbei anrechnen lassen, dass die Firmware als Teil des Mietgeräts im Verantwortungsbereich des Vermieters liegt.

Ich wüsste nicht, wieso der Kunde jetzt aktiv werden soll. Wenn mein VW nicht normkonforme Abgaswerte liefert, dann haftet dafür ja auch VW. Der Kunde kann nicht mal eben das Motormanagement patchen.

Dummer Vergleich - zumal PKW ja nicht (vom Hersteller) gemietet, sondern in den meisten Fällen gekauft sind.
Hier gilt erst einmal die 2-jähirge Gewährleistung ggü. dem Verkäufer (Händler) - gegenüber VW besteht da gar kein (direkter) Anspruch!
Für alles was danach passiert, ist erst einmal der Käufer/Kunde der Dumme, außer er kann nachweisen, dass Arglist vorlag (dann könnte da etwas gehen - aber auch dann sind Verjährungsfristen zu beachten).
Gegenüber VW direkt gibt's jedoch keinen Anspruch, da zwischen VW und dem Kunden kein direktes Rechtsverhältnis vorliegt.

Genauso wenig kann ein Internet-Noob, der den VF/KDG Installationsservice genutzt hat, irgendwelche Einstellungen im Modem ändern oder Patches einspielen. Das soll mal schön VF/KDG machen

Wenn KD den Kunden jedoch per Anleitung auffordert, seiner Schadenminderungspflicht nachzukommen, dann kann der Kunde sich bei Weitem nicht auf den Standpunkt "mir doch egal" stellen.