Mehrere Sicherheitslücken in VoIP-App und Tischtelefonen von GrandStream

Auszug:

Die Tischtelefone von GrandStream sowie die Android-App Wave sind für mehrere Lücken anfällig, die es einem aktiven Angreifer im selben Netzwerk erlauben, die Konfiguration zu verändern, Passwörter zurückzusetzen oder Gespräche über einen eigenen Server umzuleiten. Standardmäßig rufen sie ihre Konfiguration über eine ungesicherte HTTP-Verbindung ab (CVE-2016-1518). Aktiviert man die Nutzung von HTTPS, führt die App dennoch keine Zertifikatsüberprüfung durch, bei den Tischtelefonen muss diese separat aktiviert werden (CVE-2016-1519). Ferner nutzt die App einen unsicheren Kanal, um App-Updates abzurufen, was dem Angreifer ggfs. erlaubt, Android-Malware einzuschleusen (CVE-2016-1520).

CVE-2016-1518 (PDF)
CVE-2016-1519 (PDF)
CVE-2016-1520 (PDF)

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.