Medienbericht 07.02.2020, 13:25 Uhr

Sicherheitslücke bei Yealink-Telefonen

Wie Heise Online berichtet, gibt es eine schwerwiegende Sicherheitslücke im Autoprovisionierungsdienst von Yealink-Telefonen. Aufgedeckt hat diese Lücke das IT-Security-Unternehmen Vtrust.
(Quelle: Yealink )
Immer wieder kommt es zu Sicherheitslücken bei VoIP-Telefonen, erst im vergangenen Sommer hatte das Fraunhofer-Institut für Sichere Informationstechnologie in einem Test zum Teil gravierende Schwachstellen bei VoIP-Telefonen gefunden. Damals hatte das Institut 33 VoIP-Telefone von 25 Herstellern getestet – und 40 zum Teil gravierende Schwachstellen gefunden.
Nun hat das IT-Security-Unternehmen Vtrust laut einem Bericht von Heise Sicherheitslücken im Autoprovisionierungsverfahren von Yealink entdeckt. Angreifer können demnach auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten zugreifen. Das könnte unter anderem ein Einfallstor für Fraud-Attacken sein, bei dem durch Rufnummernmissbrauch Gebührenbetrug möglich ist.
Vtrust hatte nach dem Heise-Bericht Yealink auf die Gefahr hingewiesen, bislang hat der Hersteller die Lücke wohl noch nicht geschlossen. Yealink gehört zu den Marktführern im SIP-Telefon-Bereich, die Telefone werden sehr häufig auch bei Cloud-PBX-Anbietern eingesetzt. Nutzen diese das Autoprovisioning-Verfahren von Yealink, so könnten auch deren Kunden in Gefahr sein.
„Wir wurden Ende November von Vtrust informiert und haben die Angelegenheit von Anfang an sehr ernst genommen“, erklärt Jan-Peter Koopmann, CTO von Nfon, im Gespräch mit Telecom Handel. Nfon arbeite beständig an neuen Sicherheitskonzepten – „und uns war klar, dass wir uns auf die Hilfestellung vom Hersteller nicht verlassen können und auch dürfen“, so Koopmann weiter. Deshalb hat der Cloud-PBX-Anbieter die Zwei-Faktor-Authentifizierung zum Schutz der Endgeräte forciert und vor kurzem auch gelauncht. Zum Start gilt diese für Yealink-Endgeräte, weitere Hersteller sollen folgen. Ältere Endgeräte von Yealink sind laut Koopmann ebenfalls geschützt.
Telecom Handel fragte auch bei anderen Anbietern nach, wie diese auf die Sicherheitslücke reagieren werden. Manche nutzen ein eigenes, zum Teil auch verschlüsseltes Autoprovisionierungs-Tool und sind deshalb nicht betroffen. Zu diesen gehören beispielsweise Pascom und auch Placetel.
HFO Telecom wiederum hat Yealink-Telefone in Verbindung mit seiner Cloud-PBX Crown Centrex im Einsatz und verweist darauf, dass das Unternehmen den Schaden – sollte überhaupt einer entstehen – in Grenzen halten könne.




Das könnte Sie auch interessieren