Das die von Arcadyan produzierten Router, welche unter anderem von Vodafone unter der Bezeichnung EasyBox und von der Telekom unter der Bezeichnung Speedport vertrieben werden, des öfteren an schweren Sicherheitsmängeln leiden ist ja nichts neues.
So gab es in 2011 das Problem das der voreingestellte WPA Key mit sehr einfachen Mitteln zu berechnen war, wenn man diesen also nicht wechselte Stand das Netzwerk quasi nackt da. Nachlesen kann man das ganze hier: http://www.heise.de/security/meldung/Vorkonfigurierte-WPA-Schluessel-bei-T-Online-und-Vodafone-leicht-erratbar-1326796.html
Ebenfalls im Jahr 2011 fand man dann eine Schwachstelle in der Implementierung des WiFi Protected Setup, welche auch viele Router anderer Hersteller betraf. Dies führte z.B. zur Entwicklung des Tools Reaver welches je nach Router Modell mal besser und mal schlechter funktionierte.
Eben diese Funktion wird den Easybox Routern Modell 803 nun auch wieder zum Verhängnis. Scheinbar lässt sich der Default WPS PIN aus der Mac Adresse sowie der Serien Nummer des Routers errechnen. Da man die Seriennummer ebenfalls aus der Mac Adresse des Routers berechnen kann stehen wieder mal einige tausend Router nackt in freier Wildbahn, da die meisten Leute diesen PIN nicht geändert haben werden. Nachlesen kann man das ganze hier: http://www.securityfocus.com/archive/1/527762
Da Vodafone nur mit der lapidaren Aussage reagiert die Kunden seien darüber informiert worden das Sie die default Passwörter ändern sollen (wahrscheinlich steht es im Handbuch) und man scheinbar keinen weiteren Handlungsbedarf sieht, wurden die Informationen über diese Lücke nun veröffentlicht.
Kunden bei denen bald die Polizei vor der Tür steht, weil z.B. Urheberrechtsverletzungen über Ihre Internetleitung begangen wurden können sich dann ja bei Vodafone bedanken.
Wenn Ihr eine Vodafone EasyBox euer eigen nennt dann tut euch selber einen gefallen. Ändert den WPA Key und den WPS PIN, oder schaut nach ob Ihr WPS bei dem Router deaktivieren könnt. Bei anderen Routern habe ich jedoch auch schon gesehen das WPS noch aktiv war, obwohl es in der GUI als deaktiviert angezeigt wurde.