Android BadBox 2.0 - offenbar infiziertes Gerät im Netzwerk

@gemy Das klingt schlüssig und würde das ganze ziemlich gut erklären.. als normaler Kunde wird man mit dem Hinweis darauf bei Vodafone wahrscheinlich auf taube Ohren stoßen bzw. niemanden direkt erreichen, der einen diesbezüglich ernst nimmt.

Insofern wäre der Tipp von @norKoeri gar keine schlechte Idee. Denn ansonsten findet man im Netz kaum etwas zu dem Thema, auch bei Vodafone selbst nur sehr wenig. Scheint irgendwie insgesamt unter dem Radar zu bleiben das Thema, obwohl es sicherlich enorm viele betrifft, wenn gemy's Theorie zutrifft.
 
Das ist mir mit anderen Anbietern schon aufgefallen. Z.B. GMX oder Google. Bei gmx kann ich mich manchmal nicht in mein mail Postfach einloggen weil von meiner IP Adresse aus zu viele Anfragen kommen. Oder bei google (einer normalen Suchanfrage) kommt die Meldung auffällig viele Anfragen von meiner IP aus.

Vor einigen Monaten war ich im IRC Chat unterwegs. Bin da in einem Channel drin und wurde gekickt vom Admin. Frag nach was los ist und der sagt das multiple Verbindungen von einer IP aus nicht gestattet sind.

Dann mach ich also ein /who <meine IP> und siehe da ein anderer User auch mit Vodafone und der selben IP hockt schon im Channel drin.

Durch dieses IPv4 sharing mit anderen Leuten kann der Anbieter nicht mehr genau sagen von wem der Unfug kommt.


Wer also Vodafone hat mit einem billigen Internetanschluss mit DSL und ums verrecken keine Idee hat wo die Badbox installiert sein könnte der kann davon ausgehen das es einfach ein anderer User ist mit der selben IP von Vodafone.
 
Was BadBox 2.0 veranstaltet hat ist bekannt.
https://www.humansecurity.com/company/satori-threat-intelligence/badbox-2-0/
https://www.ncsc.gov.ie/pdfs/AndroidBadbox2-0.pdf

Welche Steuerungsserver aufgerufen werden/wurden ist auch bekannt.

Wenn von irgendwo im Vodafone-Netz eine solche IP aufgerufen wird, bekommt Vodafone es mit. Und weiss sehr wohl aus welchem Kundenheimnetz die Andrage gestellt wurde.

gemy schrieb:
warum senden sie denn dann nicht die mac adresse mit oder die ipv6 adresse zu diesem Zeitpunkt?

Weil die Mac Adresse die Routergrenze nicht ueberwindet.
 
Zuletzt bearbeitet: (Typo)
  • Gefällt mir
Reaktionen: JumpingCat
Für mich ist der Fall schon erledigt. Habe im Vodafone Portal gesehen; Meldende Stelle: reports@reports.cert-bund.de. Das bedeutet für mich nicht Vodafone erkennt sondern bund.de. Und da ich DS Lite habe und meine IPv4 mit paar hundert oder Tausend anderen Leuten geteilt wird bin nicht es dir infiziert ist.
 
Sie es nicht so trocken.
Was da getrieben wird bei solchen Aktionen macht es immer moeglich, dass der Provider die Quelle identifizieren kann. Voellig egal ob Du nun ein Lite hast oder nicht. Der Provider weiss sehr wohl wer konkret bei ihm im Netz ist und schreibt nicht alle z.B. 1024 Nutzer an.

Aber egal.
 
  • Gefällt mir
Reaktionen: JumpingCat
Zu Beginn des Vorfalls hatte ich direkt mit der Sicherheitsabteilung von Vodafone gesprochen. Ich habe explizit nachgefragt, ob es technisch möglich sei, dass die zugewiesene IP‑Adresse nicht eindeutig meinem Anschluss zugeordnet werden kann. Die Antwort war klar: Die IP‑Adresse lässt sich jederzeit eindeutig meinem Anschluss zuordnen.

Ja, das mit Heise oder ähnlichen Institutionen wäre interessant und hatte ich auch schon überlegt. Denn die Firmen wie Vodafone oder Samsung (mein Fernseher ist ja infiziert) haben sich bei meinem Anruf nur bedingt für das Thema interessiert.
 
Zurück
Oben