Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben insgesamt 33 VoIP-Telefongeräte von 25 verschiedenen Herstellern auf Lücken und Schwachstellen geprüft. Dabei wurden nicht weniger als 40 teils gravierende Schwachstellen gefunden, über die Angreifer Gespräche abhören, das Telefon ausser Betrieb setzen oder sich über Schwachstellen im Gerät weiteren Zugriff auf das Firmennetzwerk verschaffen können. Stephan Huber, einer der an der Untersuchung beteiligten Forscher, erklärte angesichts der Ergebnisse: "Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten." Eine Schwachstellenart, die auf sieben Geräten gefunden wurde, war offenbar so schwerwiegend, dass es den Sicherheitsforschern gelungen ist, die komplette administrative Kontrolle über das VoIP-Telefon zu erlangen und auch andere Geräte zu manipulieren, die sich im selben Netzwerk befinden, etwas weitere VoIP-Telefone, aber auch Rechner oder Produktionsmaschinen. Ein weiteres Angriffsszenario sei eine Denial-of-Service-Attacke gewesen, die die VoIP-Telefone ausser Gefecht setzt.
Wie das Fraunhofer SIT erklärt, habe man alle Hersteller der untersuchten VoIP-Telefone über die gefundenen Schwachstellen informiert. Diese hätten reagiert und die Lücken geschlossen. Die Fraunhofer-SIT-Experten raten deshalb allen Nutzern, die eigenen Geräte aktuell zu halten und auf Updates für die Geräte-Firmware zu achten. Weitere technische Details zu den untersuchten VoIP-Telefonen und den gefundenen Lücken
finden sich hier.
