Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt

Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt
Illustration: Improsec.
Wifi-extendere hentede opdateringer fra en FTP-server, som alle og enhver kunne skrive til. Dermed har Yousee-produkter gjort kunder sårbare over for hackerangreb, uden at TDC's egne folk fangede sikkerhedshullerne. Alligevel stoler TDC fortsat på egen fejl-tjek.
Reportage12. februar 2020 kl. 05:04
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Wi-fi-extendere solgt af TDC og Yousee var tilsluttet en dybt usikker FTP-server, der potentielt kunne udrulle enhver software, angribere kunne tænke sig, til alle tilsluttede Askey-extendere udleveret af TDC til kunderne.

Hullet blev opdaget af firmaet Improsec, der har beskrevet det teknisk i en blog.

Det er det andet store hul på mindre end ét år, der bliver fundet af danske sikkerhedsfolk i TDC-hardware. For blot en måned siden skrev Version2, at en række af selskabets routere kunne overtages med en anden, verdensomspændende sårbarhed.

Askey

Askey Computer Corporation, der har fremstillet de sårbare extendere, blev grundlagt i 1989 som et datterselskab af ASUS Computers.

En extender forlænger en Wi-fi-enheds rækkevidde.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
12. februar 2020 kl. 11:21

Jeg formoder, at Improsec og andre er godt i gang med at tjekke, om den nye løsning lever op til hvad kunderne kan forvente. Og jeg antager, at Yousee tager producentens "lappeløsning" for gode varer uden at foretage sig yderligere. Glæder mig til at høre, om BD_SVR har et formål - og i givet fald hvilket.

6
12. februar 2020 kl. 10:35

»Konkret har vi en afdeling som sikkerhedstester produkter inden de frigives til brug hos kunder. Derudover arbejdes der med trejdeparts-leverandører om at sikkerhedsteste produkterne. Når det en sjælden gang imellem lykkes eksterne analytikere at finde en sårbarhed, før vi selv gør det, arbejder vi altid målrettet sammen med dem om hurtigt at rette fejlen og levere en løsning til kunden – inden sårbarheden bliver udnyttet.«

Jeg har sjældent set så latterlig "corporate bullshit" kommunikation. Men jeg er sikker på der sidder nogen hos TDC og er rigtig stolte af ovenstående tekst som sikkert ikke er faktuel forkert men som givetvis giver det helt forkerte billede.

Det ville være interessant at blive klogere på den afdeling. Hvor mange er der ansat? Hvor mange produkter kigger de på? Hvilke metoder bruger de? Kigger de på source-koden? Hele source-koden?

I den forbindelse nytter ikke noget at lade TDC slippe afsted med historier om at de ikke kan sige mere af sikkerhedsmæssige eller konkurrencemæssige grunde. Hvis vi som kunder skal have tiltro til deres produkter så må de fortælle os hvad de gør for at vi skal tro på dem. Det er ikke anderledes end hvis man producerer mælk eller cykelslanger.

I øvrigt er min tiltro til TDC meget lille når det gælder sikkerhed. Vi har stadigvæk ikke fået nogen forklaring på hvordan nedenstående kunne ske (der er sikkert flere historier end disse to der fortjener at komme på listen). Af samme grund har jeg min egen router bag ved TDC's.

5
12. februar 2020 kl. 08:45

ja, og enig Anne-Marie

3
12. februar 2020 kl. 08:03

Tak for svar, Anders Tryka.

at producenten valgte et 'nyt opdaterings-setup' ... altså implicit at servicen var en askey service

Nu er jeg ikke overdrevent kvik på dataområdet, så her må lige en oversættelse til. Er det noget med, at du gætter på, at man via en opdatering simpelthen har fjernet denne potentielle bagdør?

Men det kunne alligevel være meget rart med en afslutning på den del af historien fra YouSee - eller mere pålidelige kilder, såsom ImproseC.

2
12. februar 2020 kl. 07:55

tænkte præcis det samme. tænker dog også, at svaret var 'nej,' og at producenten valgte et 'nyt opdaterings-setup' ... altså implicit at servicen var en askey service?

man skal ikke udelukke at arkitekten har haft dårlig humor, da han navngav servicen...

1
12. februar 2020 kl. 06:38

Har man fået en forklaring på 'BD_SVR' ?