Gefahr durchs Telefon: IT-Forscher haben in gängigen VoIP-Telefonen insgesamt 40 teils gravierende Schwachstellen gefunden. Über diese Sicherheits-Lücken könnten Hacker Gespräche abhören, das Telefon außer Betrieb setzen oder sich Zugriff auf das Firmennetzwerk verschaffen. Die Hersteller der VoIP-Telefone haben diese Schwachstellen inzwischen geschlossen, daher empfehlen die Forscher allen Nutzern dringend ein Update der Firmware.
Für die meisten Firmen-Telefonanlagen und Privatanschlüsse gilt dies bereits: Das Telefonieren geschieht nicht mehr mittels analoger elektrischer Signale, sondern über das Internet. Das Voice over IP (VoIP) digitalisiert die Sprachinformation, zerlegt sie in Datenpakete und schickt sie durch das Netz an den Empfänger. Beim Gesprächspartner werden die Pakete wieder zusammengesetzt und in Sprache zurückübersetzt. Der große Vorteil: VoIP benötigt nur wenig Bandbreite und es sind Gespräche mit vielen Teilnehmern gleichzeitig möglich. Der Nachteil jedoch: Wie alle Internetanwendungen können VoIP-Telefone gehackt werden.
Unerwartet viele Schwachstellen
Wie anfällig gängige VoIP-Telefongeräte für das Hacking sind, haben kürzlich Forscher vom Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) näher untersucht. Dafür testeten sie die webbasierten Benutzeroberflächen von 33 VoIP-Telefongeräten von 25 verschiedenen Herstellern auf Lücken und Schwachstellen. Zu den getesteten Produkten gehörten unter anderem Geräte von Gigaset, Unify, Htek, Akuvox oder Auerswald.
Von den Ergebnissen waren selbst die Sicherheitsexperten überrascht: Sie stießen auf in den VoIP-Telefonen auf insgesamt 40 teils gravierende Schwachstellen. „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten“, erklärt Stephan Huber, einer der an der Untersuchung beteiligten Forscher.
Übernahme des Telefons und Denial-of-Service-Attacken
Eine Schwachstellenart war so schwerwiegend, dass die Forscher darüber sogar die komplette administrative Kontrolle über das VoIP-Telefon erlangen konnten. „Das ist ein Sicherheits-Totalausfall“, sagt Philipp Roskosch vom Fraunhofer SIT. Denn durch diese Übernahme des Telefongeräts könnten Angreifer auch andere Geräte manipulieren, die sich im selben Netzwerk befinden, beispielsweise weitere VoIP-Telefone, Rechner oder auch Produktionsmaschinen. Dieser Angriff war bei sieben Geräten möglich.
Weitere Sicherheitslücken ermöglichten es, den Nutzer aus seinem eigenen Telefon auszusperren oder eine Denial-of-Service-Attacke durchzuführen. Dabei werden die VoIP-Telefone außer Gefecht gesetzt. Dies ist beispielsweise für Kundenhotlines, etwas von Banken oder Versicherungen, geschäftsschädigend.
Firmware-Updates dringend empfohlen
Die Sicherheitsforscher haben alle Hersteller der untersuchten VoIP-Telefone über die gefundenen Schwachstellen informiert; diese haben alle reagiert und die Lücken geschlossen. Die Fraunhofer SIT-Experten raten deshalb allen Nutzern, die eigenen Geräte aktuell zu halten und auf Updates für die Geräte-Firmware zu achten. Weitere technische Details zu den untersuchten VoIP-Telefonen und den gefundenen Lücken finden sich im Internet.
Quelle: Fraunhofer-Institut für Sichere Informationstechnologie SIT