13. März 2020 Alexander Wolschann

»Unsere Kunden sind sicher«

Eine Sicherheitslücke des chinesischen Hardware-Herstellers Yealink bedroht Millionen Kunden weltweit, auch in Österreich. Die COMPUTERWELT hat mit NFON-CTO Jan-Peter Koopmann über Lösungsszenarien und den Kern des Problems gesprochen. [...]

Jan-Peter Koopmann, CTO bei NFON: »Wir haben die Lücke dank unserer Technologie komplett geschlossen.« (c) NFON

Das IT-Security-Unternehmen VTRUST hat laut einem Bericht des deutschen Fachmagazins c’t Sicher­heitslücken im Autoprovisionierungsverfahren des VoIP-Telefonherstellers Yealink aufgedeckt: Die Lücken dürften nach aktuellem Stand nach alle Geräte des Herstellers betreffen, da das Verfahren bei jeder verwendeten Hardware, unabhängig von Modell oder Typus, das Gleiche ist. Yealinks Dienst kommt weltweit insbesondere bei Cloud-Telefonie- Anbietern zum Einsatz. Der Hersteller gehört zu den Weltmarkführern und ist eine der erfolgreichsten chinesischen Firmen in dieser Branche mit einem Reingewinn von 129 Millionen US-Dollar im Jahr 2018.

Alle Kunden potentiell betroffen

Die Auswirkungen können laut c’t sowohl für die IT-Sicherheit als auch für den Datenschutz gravierend sein, weil die Lücken sich aus der Ferne über das Internet ausnutzen lassen. Die Telefone sind über Yealinks Dienst zwar nicht direkt erreichbar, jedoch kann gegebenenfalls der Angreifer auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere nutzerspezifische Daten zugreifen. So ist nicht nur Rufnummernmissbrauch mit extrem hohen Rechnungen oder Betrugsanrufen, sondern potenziell auch Wirtschaftsspionage möglich. Potentiell ist jedes Unternehmen betorffen, dass ein Endgerät von Yealink im Einsatz hat.

Da auch österreichische Unternehmen immer stärker auf Cloud-Telefonie setzen, wäre das nicht zuletzt auch wegen der strengen Richtlinien der DSGVO ein Horrorszenario. Die COMPUTERWELT hat daher mit NFON-CTO Jan-Peter Koopmann über die Problematik und mögliche Lösungsszenarien gesprochen. NFON ist einer der größten Anbieter von Cloud-basierter Telefonie in Europa und hat im vergangenen Jahr mit Cloudya eine professionelle Plattform für Telefonie und diverse weitere Services für Unternehmen vorgestellt.

Worum handelt es sich bei der Sicherheitslücke bei Yealink genau und was bedeutet das für Ihre Kunden?
Worum es sich im Detail handelt möchte ich aus mehreren Gründen nicht sagen, da die Lücke ja noch nicht hundertprozentig geleakt ist und wir einerseits dem Hersteller nicht vorgreifen wollen und andererseits zum Schutz unserer Kunden auch hier nicht zu viel verraten wollen. Fakt ist, dass wir die Lücke für unsere Kunden komplett geschlossen haben.
Nur so viel zum Verständnis: Das Autoprovisionierungsverfahren ist dazu da, ein hochkomplexes Gerät wie ein Cloud-Telefon für die Nutzer möglichst simpel zu halten. Es geht im Grunde darum, wie sich das Telefon mit seiner ganz eigenen ID im Netz anmeldet und erkannt wird. Das Telefon selbst kommt komplett leer beim Kunden an und weiß per se nicht wem es gehört. Dafür gibt es den sogenannten Redirection Prozess. Am Ende macht das Telefon einen Request bei seinem Hersteller und meldet sich quasi an. Da gibt es natürlich gewisse Herausforderungen. Eine MAC-Adresse ist nun mal nicht so wahnsinnig geheim, einerseits kann man sie fälschen, andererseits sind diese bei den Herstellern in der Regel durchnummeriert und man kann erraten welche Blöcke eingesetzt werden. Man kann als Angreifer so tun als wäre man das Telefon und diese Provisionierungsdienste abfragen, so bekäme man dann Login-Daten. Und wenn ich die erstmal habe, kann ich auch Telefonate führen und gegebenenfalls auch Kontakt- und Anruflisten erhalten. Das geht bis zu kompletten Adressbüchern, je nach Sicherheitsstandards des Telefonherstellers oder Cloud-Providers. Genau in diese Richtung geht die Sicherheitslücke von Yealink. Man weiß also ganz genau wo das Problem ist, aber da Yealink die Sicherheitslücke noch nicht geschlossen hat, hat man sich in der Branche entschieden, die genauen Details dieser Lücke nicht publik zu machen. Wir arbeiten aber sehr eng mit den Sicherheitsforschern zusammen und können mit Fug und Recht behaupten, dass die Technologie, die wir zum Patent angemeldet haben, diese Lücke auch zu 100 Prozent schließt.

Wie konnten Sie für Ihre Kunden die Lücke schließen?
Wir haben bei unseren Lösungen schon seit einiger Zeit Authentifikationsmechanismen eingeführt damit das Telefon quasi beweisen kann wem es gehört, wie zum Beispiel durch SSL-Zertifikate. Das Provisionierungsverfahren hat bis dato darauf beruht, dass man den Authentifikationsmechanismen der Telefone vertraut hat. NFON hat aber in seiner Technologie einen zusätzlichen Authentifizierungsschritt eingebaut, der nur von uns bestimmt wird. Da haben wir die komplette Security in der Hand, unabhängig davon, ob die Verschlüsselung geknackt wurde oder die SSL-Zertifikate nicht funktionieren. Wir haben einfach für uns beschlossen, dass wir den Sicherheitsstandards der Hersteller nicht ausreichend vertrauen können, weil wir uns bis zu einem gewissen Grad auch für die Sicherheit unserer Kunden verantwortlich fühlen und haben somit diesen zusätzlichen Layer eingebaut.

Unabhängig davon, dass Ihre Kunden abgesichert sind. Können Sie sagen wie viele Kunden und Geräte tatsächlich betroffen sind?
Yealink hat sich in den letzten Jahren zu einem der Marktführer, auch in Europa, entwickelt. Weltweit haben sie einen Marktanteil von über 27 Prozent. Jeder, der ein Endgerät von Yealink in Betrieb hat, ist potentiell betroffen. Wir sprechen von vielen Millionen Endgeräten. Es hängt natürlich immer davon ab, welche Sicherheitsmaßnahmen von den anderen Cloud-Telefonie-Anbietern getroffen wurden. Das kann und will ich auch nicht beurteilen. Ich kann aber sagen, dass wir von Anfang an sehr viel in die Sicherheit unserer Plattform Cloudya investiert haben und hier einer der Vorreiter sind.

Warum hat sich Yealink dazu entschieden, den Kopf in den Sand zu stecken und geht nicht offen mit der Thematik um? Gute Krisen-PR sieht irgendwie anders aus.
Wenn man die Branche lange genug kennt und sich intensiv damit beschäftigt, weiß man dass das nicht unbedingt ein chinesisches Problem ist. Es gibt leider sehr viele Hersteller, die nicht wirklich proaktiv mit solchen Lücken umgehen. Manche Unternehmen wollen auch die Lücke zuerst schließen und hoffen, dass sie unter dem Radar bleiben. Die Sicherheitsforscher haben natürlich in diesem Fall sofort mit Yealink Kontakt aufgenommen, zudem sind wir in ständigem Kontakt mit dem IT-Security-Unternehmen.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*