Die Stiftung Warentest hat kritische Sicherheitslücken in Wireless-Routern mit Mobilfunkmodems von Asus, D-Link und TP-Link gefunden. Die Betroffenen sollten, darauf weist das Verbraucherschutzportal, schnell handeln. Zwei Hersteller haben schon Updates bereitgestellt.
Im aktuellen Test von 14 mobilen WLan-Hotspots fanden die Tester bei drei Modellen kritische WLan-Sicherheitslücken. Mobile Hotspots dienen dazu, eine Internetverbindung über das Mobilfunknetz aufzubauen und diese über ein WLan-Funknetz an mehrere Handys, Tablets oder Laptops weiterzugeben. Es gibt Geräte mit wiederaufladbaren Akkus für den Einsatz unterwegs – etwa auf Geschäftsreisen oder im Urlaub – und Geräte mit Netzteil für den Einsatz zu Hause.
Drei der getesteten Modelle stellten sich als anfällig für Hackerangriffe heraus, eines mit Akku von D-Link und zwei mit Netzteil von Asus und TP-Link:
- Asus 4G-N16 Wireless-N300 LTE Modem Router
- D-Link DWR-933 4G/LTE Cat 6 Wi-Fi Hotspot
- TP-Link Archer MR500 4G+ Cat6 AC1200 WLAN Dual Band Gigabit Router
Die Tester fanden bei allen drei Geräten in der Originalkonfiguration Sicherheitslücken in der Wi–Fi Protected Setup (WPS)-Technik. Hacker können sich damit Zugang zum Wi–Fi der Geräte verschaffen, solange sie sich in Reichweite des Funknetzes befinden. So können sie den Netzwerkverkehr abhören, auf Daten von mit dem WLan verbundenen Geräten zugreifen oder den mobilen Internetzugang des Hotspots für kriminelle Zwecke missbrauchen. WPS soll die Verbindung von Geräten mit WiFi–Netzwerken erleichtern, gilt aber schon lange als unsicher.
Nutzer sollten daher die WPS–Funktion im Einstellungsmenü der Geräte von Asus und TP–Link deaktivieren. Beide können dann sicher verwendet werden. Sie funktionieren auch ohne WPS. D–Link–Nutzern hilft dieser Schritt allerdings nicht: Hier bleibt die Sicherheitslücke in der getesteten Version der Firmware bestehen, auch wenn WPS im Menü deaktiviert ist. Bis es ein Update für dieses Modell gibt, das die Lücke schließt, kann man zumindest Hackerangriffe erschweren, indem man die voreingestellte, unsichere WPS–Standard–Pin ändert.
Stiftung Warentest hat die drei Hersteller über die Sicherheitslücken informiert, um ihnen die Möglichkeit zu geben, die Probleme zu beheben. Außerdem benachrichtigten sie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
TP–Link reagierte schnell mit einer eigenen Warnmeldung und hat bereits eine neue Version der Firmware veröffentlicht, um das Problem zu beheben. Auch D–Link hat am 20. April ein Firmware–Update bereitgestellt, das die Nutzer installieren sollten.
Asus teilte mit, dass es an einer neuen Version der Firmware arbeitet, bei der WPS ab Werk ausgeschaltet ist. Diese soll „so bald wie möglich„ veröffentlicht werden. Bis dahin empfiehlt der Hersteller die manuelle Deaktivierung der WPS–Funktion.
Die vollständigen Testergebnisse für die 14 getesteten mobilen Hotspots werden in einigen Wochen von Stiftung Warentest veröffentlicht.