Menü
Security

Tor-Router Anonabox mit stümperhafter Sicherheit

Ein Sicherheitsforscher, der die Anonabox unter die Lupe genommen hat, fand gravierende Mängel. Aus dem WLAN ist das Gerät jedem Angreifer mit ein wenig Motivation schutzlos ausgeliefert. Das Passwort für den Root-Zugang ist "admin".

Von
vorlesen Drucken Kommentare lesen 62 Beiträge
Tor-Router Anonabox mit stümperhafter Sicherheit

(Bild: Lars Thomsen )

Der Anonabox-Router soll die Privatsphäre seiner Nutzer schützen und sämtlichen Traffic über das Tor-Netzwerk umleiten. Das Gerät kommt dieser Aufgabe zwar nach, setzt seine Nutzer allerdings gleichzeitig dem Risiko aus, von lokalen Angreifern ausspioniert zu werden. Massive Flüchtigkeitsfehler in der Umsetzung der Gerätesoftware werfen kein gutes Licht auf den Hersteller.

Ein Sicherheitsforscher, der die Anonabox unter die Lupe genommen hat, geht mit dem Gerät hart ins Gericht. Das werksseitig eingestellte WLAN-Netzwerk ist komplett offen und sowohl ein SSH-Zugang als auch ein Web-Interface sind zwar versteckt aber dennoch einfach zu erreichen. Auf das nicht dokumentierte und für normale Anwender auch nicht änderbare Root-Passwort "admin" kam der Forscher bei seinem vierten Versuch. Damit ist das Gerät jedem Angreifer, der das WLAN der Box sehen kann, schutzlos ausgeliefert.

Immerhin ändert sich die SSID des WLAN-Netzes bei jedem Neustart. Der dafür zuständige Code scheint allerdings der einzige Quellcode zu sein, den die Anonabox-Entwickler selbst geschrieben haben. Ansonsten scheint es sich bei der Firmware der Box um eine minimal angepasste Version des Open-Source-Projektes OpenWrt zu handeln. Und selbst diese eine eigene Funktion ist fast dilettantisch umgesetzt.

Das über Crowdfunding aus der Taufe gehobene Anonabox-Projekt sah sich von Anfang an starker Kritik ausgesetzt. Zum einen sollte die angeblich selbst entwickelte Hardware auf einem bereits vorhandenen Produkt bestehen. Zum anderen bezweifelten Sicherheitsexperten immer wieder, dass es sinnvoll ist, den kompletten alltäglichen Traffic über Tor zu lenken. Nun kommt zu diesen Kritikpunkten hinzu, dass die Box auch noch ein Sicherheitsrisiko darstellt.

Der Hersteller hat die Sicherheitsprobleme zugegeben und tauscht betroffene Geräte aus. Laut des US-Magazins Wired sollen 350 der insgesamt 1500 Geräte betroffen sein, die Anonabox im Rahmen seiner zweiten Crowdfunding-Kampagne vertrieben hatte. Die erst Kampagne war von Kickstarter vor Ende der Frist gestoppt worden. Neue Geräte seien von dem Problem nicht betroffen und bräuchten deswegen kein "kostenloses Update", so der Firmenchef von Anonabox.

Update 20:20, 8.4.2015: Klar gestellt, dass der Zugang zu SSH und Web-Interface versteckt ist und der Anwender das voreingestellte Root-Passwort nicht ändern kann. (fab)