Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt
Illustration: Improsec.
Wifi-extendere hentede opdateringer fra en FTP-server, som alle og enhver kunne skrive til. Dermed har Yousee-produkter gjort kunder sårbare over for hackerangreb, uden at TDC's egne folk fangede sikkerhedshullerne. Alligevel stoler TDC fortsat på egen fejl-tjek.
Reportage12. februar 2020 kl. 05:04
Ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Wi-fi-extendere solgt af TDC og Yousee var tilsluttet en dybt usikker FTP-server, der potentielt kunne udrulle enhver software, angribere kunne tænke sig, til alle tilsluttede Askey-extendere udleveret af TDC til kunderne.
Hullet blev opdaget af firmaet Improsec, der har beskrevet det teknisk i en blog.
Det er det andet store hul på mindre end ét år, der bliver fundet af danske sikkerhedsfolk i TDC-hardware. For blot en måned siden skrev Version2, at en række af selskabets routere kunne overtages med en anden, verdensomspændende sårbarhed.
Askey Computer Corporation, der har fremstillet de sårbare extendere, blev grundlagt i 1989 som et datterselskab af ASUS Computers. En extender forlænger en Wi-fi-enheds rækkevidde.Askey
Jeg formoder, at Improsec og andre er godt i gang med at tjekke, om den nye løsning lever op til hvad kunderne kan forvente. Og jeg antager, at Yousee tager producentens "lappeløsning" for gode varer uden at foretage sig yderligere. Glæder mig til at høre, om BD_SVR har et formål - og i givet fald hvilket.
Jeg har sjældent set så latterlig "corporate bullshit" kommunikation. Men jeg er sikker på der sidder nogen hos TDC og er rigtig stolte af ovenstående tekst som sikkert ikke er faktuel forkert men som givetvis giver det helt forkerte billede.
Det ville være interessant at blive klogere på den afdeling. Hvor mange er der ansat? Hvor mange produkter kigger de på? Hvilke metoder bruger de? Kigger de på source-koden? Hele source-koden?
I den forbindelse nytter ikke noget at lade TDC slippe afsted med historier om at de ikke kan sige mere af sikkerhedsmæssige eller konkurrencemæssige grunde. Hvis vi som kunder skal have tiltro til deres produkter så må de fortælle os hvad de gør for at vi skal tro på dem. Det er ikke anderledes end hvis man producerer mælk eller cykelslanger.
I øvrigt er min tiltro til TDC meget lille når det gælder sikkerhed. Vi har stadigvæk ikke fået nogen forklaring på hvordan nedenstående kunne ske (der er sikkert flere historier end disse to der fortjener at komme på listen). Af samme grund har jeg min egen router bag ved TDC's.
ja, og enig Anne-Marie
https://www.oxy-gen.mobi/blog.html
Tak for svar, Anders Tryka.Nu er jeg ikke overdrevent kvik på dataområdet, så her må lige en oversættelse til. Er det noget med, at du gætter på, at man via en opdatering simpelthen har fjernet denne potentielle bagdør?
Men det kunne alligevel være meget rart med en afslutning på den del af historien fra YouSee - eller mere pålidelige kilder, såsom ImproseC.
tænkte præcis det samme. tænker dog også, at svaret var 'nej,' og at producenten valgte et 'nyt opdaterings-setup' ... altså implicit at servicen var en askey service?
man skal ikke udelukke at arkitekten har haft dårlig humor, da han navngav servicen...
Har man fået en forklaring på 'BD_SVR' ?