Auszug:
Die Tischtelefone von GrandStream sowie die Android-App Wave sind für mehrere Lücken anfällig, die es einem aktiven Angreifer im selben Netzwerk erlauben, die Konfiguration zu verändern, Passwörter zurückzusetzen oder Gespräche über einen eigenen Server umzuleiten. Standardmäßig rufen sie ihre Konfiguration über eine ungesicherte HTTP-Verbindung ab (CVE-2016-1518). Aktiviert man die Nutzung von HTTPS, führt die App dennoch keine Zertifikatsüberprüfung durch, bei den Tischtelefonen muss diese separat aktiviert werden (CVE-2016-1519). Ferner nutzt die App einen unsicheren Kanal, um App-Updates abzurufen, was dem Angreifer ggfs. erlaubt, Android-Malware einzuschleusen (CVE-2016-1520).