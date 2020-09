Durch eine Sicherheitslücke bei Vodafone konnten Angreifer eigenen Code in die Website schleusen und so etwa Zugangsdaten abgreifen oder Malware verteilen. Darüber berichtet c't in der aktuellen Ausgabe 21/2020. Der Provider wusste von der Sicherheitslücke, reagierte aber erst nach einer Kontaktaufnahme durch c't.

Eingeschleuster Code konnte unter anderem auf das Session-Cookie der Vodafone-Website zugreifen. (Bild: c't Magazin)

Betroffen war die Suchfunktion auf Vodafone.de: Sie hat den empfangenen Suchbegriff unzureichend gefiltert und auf der Ergebnisseite ausgegeben. An der Stelle, an der zum Beispiel Suchergebnisse für „Mobilfunk-Tarife” angezeigt wird, wurde deshalb auch fremder JavaScript-Code in die Website eingefügt – und anschließend vom Browser ausgeführt. Man spricht dabei von Cross-Site-Scripting (XSS).

Angriff per URL

Um die Lücke auszunutzen, musste ein Angreifer den Browser seines Opfers dazu bringen, eine spezielle Vodafone-URL zu laden, die den auszuführenden Code als URL-Parameter enthält. Dies ist für einen Angreifer jedoch keine Hürde, denn es genügt eine automatische Umleitung von einer beliebigen anderen Website. Auch Angriffe mit einer Phishing-Mail im Vodafone-Look wären denkbar.

Über XSS eingeschleuster Code kann Aussehen und Verhalten einer Website weitreichend manipulieren – der Fantasie eines Angreifers sind kaum Grenzen gesetzt. Naheliegend wäre der Versuch, den Vodafone-Account des Kunden zu übernehmen. Durch einen Zugriff auf das Kundencenter lassen sich nicht nur persönliche Daten und Rechnungen einsehen, auch das Einrichten einer kostspieligen Rufumleitung ist online möglich. Ferner kann man über Vodafone.de auf den Mail-Account zugreifen, wodurch ein Angreifer weitere Accounts bei anderen Diensten übernehmen kann ("Passwort-Vergessen-Funkion").

heise Investigativ Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern. Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. https://heise.de/investigativ

Vodafone reagierte spät

Entdeckt würde die Schwachstelle von Daniel Werner. Er wandte sich mit seinem beunruhigenden Fund am 12. August an Vodafone. Da sich das Unternehmen laut Werner auch zwei Wochen später noch nicht gerührt hatte, setzte er sich mit c't und heise Security in Verbindung. Die Redaktion überprüfte das Problem und kontaktierte die Vodafone-Pressestelle, woraufhin endlich Bewegung in die Sache kam.

Kurz darauf war die Sicherheitslücke geschlossen. Der Provider räumte ein, dass ihm die Schwachstelle bereits seit Anfang August bekannt war. Warum das Sicherheitsproblem erst nach mehreren Wochen geschlossen wurde, bleibt unklar. Zu einem Missbrauch der Schwachstelle ist es nach Angaben des Unternehmens nicht gekommen. (rei)