NFON stopft Sicherheitslücke bei Telefonen von YeaLink
Bei bestimmten IP-Telefonen von YeaLink wurden im November 2019 schon Sicherheitslücken bei der Autoprovisionierung festgestellt. Der große chinesische Hersteller hat laut c’t zwei Monate nicht oder nur ungenügend darauf reagiert, wohl aber NFON.
Die Autoprovisionierung ist eigentlich eine feine Sache, ermöglicht sie doch die einfache und zentrale Konfiguration von IP-Telefonen. Aber dass das auch nicht ganz unproblematisch sein kann, zeigen Sicherheitslücken bei bestimmten Geräten von YeaLink. Es handelt sich bei dem Unternehmen, das laut dem chinesischen Namen Yi Lian „hundertmillionenfach“ vernetzen will, um keinen kleinen Anbieter, sondern um einen der Marktführer. Frost & Sullivan hat YeaLink 2018 sogar als die weltweite Nummer 1 der Anbieter von SIP-Telefonen ausgewiesen.
Dennoch hat YeaLink laut einem aktuellen Bericht im Heise-Magazin c’t vom 7. Februar 2020 über zwei Monate lang nicht oder nur unzureichend auf Anfragen bezüglich einer von dem IT-Sicherheitsunternehmen VTRUST aufgedeckten Sicherheitslücken im Autoprovisionierungsverfahren für bestimmte IP-Telefone reagiert.
Außerdem gab der chinesische Hersteller laut dem c’t-Bericht auch erst auf Anfrage über seinen Facebook-Account einen Kontakt heraus. Nebenbei bemerkt, zeigt das einmal mehr, dass der Trend zu Anfragen über Social-Media-Kanäle geht, weil die Anbieter dort schneller reagieren als auf Telefon- oder E-Mail-Anfragen.
YeaLink versprach, das Problem mit Hochdruck anzugehen und holte entsprechende technische Details von VTRUST ein. Der IT-Security-Anbieter hat dann mehr als 20 deutsche VoIP-Anbieter auf mögliche Sicherheitslücken bei E-Mails, Faxen und Einschreiben hingewiesen. Dennoch habe es YeaLink auch nach zwei Monaten der ersten Kontaktaufnahme nicht geschafft, die Sicherheitslücke zu schließen, heißt es in dem Heise-Artikel.
Nutzer könnten darauf kaum reagieren, VoIP-Anbieter schon. Einer der von VRTUST benachrichtigen Provider habe das Problem bereits mit einer Zwei-Faktor-Authentifizierung (2FA) behoben, berichtet die c’t weiter. Um wen es sich dabei handelt, lässt der Artikel offen.
Tatsächlich war es die NFON AG. Diese hat neben anderen auch IP-Telefone von YeaLink im Angebot und hat die von Heise beschriebene Sicherheitslücke durch besagte Zwei-Faktor-Authentifizierung bereits am 30. Januar wirksam behoben. Die Lösung hat NFON auch schon zum Patent angemeldet und entspricht dem eigenen Grundsagt „Safety first“. Konkret ist bei der Inbetriebnahme neuer Telefone zusätzlich zu etwaigen an die Hardware gebundenen Zertifikaten immer die einmalige Eingabe einer Phone Authentification PIN (PAP) notwendig. Der PAP-Code ist sechsstellig und ist laut NFON vergleichbar mit dem Verfahren beim Online-Banking für eine erhöhte Sicherheit.
