radio567 ist ein sicherheitsrisiko

[klimb]

wow, ich habe heute das erste mal die seite von radio567 besucht und bin geschockt.

da kann jeder mit irgend einer zufälligen mac adresse die favoriten einsehen und noch besser, diese sogar bearbeiten bzw. entfernen.

jetzt kommen vielleicht stimmen auf, wie die mac adressen sind schwer zu erraten, hmm, nicht ganz. denn firmen benutzen für ihre produkte meist aneinander hängende mac's, man muss also nur seine eigene mac eingeben und mit ein paar wenigen versuchen die stellen ganz rechts etwas abzuändern erwischt man schon eine mac welche zu einem anderen gerät gehört dass radio567 verwaltet. wenn das nicht eine schande für radio567 ist.

kurz gesagt jeder noxon besitzer ist wie ein offenes buch sogar kontrollierbar und das für jedermann, solange die favoriten über radio567 verwaltet werden. standartmäßig ist dies leider der fall außer man nutzt my-noxon, aber dass muss man erst mal wissen. denn beim hinzufügen von favoriten über die fernbedienung wird immer radio567 verwendet.

 

[shaddi]

Nunja. Ich bezweifle den Nutzen für den "Angreifer". Einen bestimmten Noxon Anwender kann man nicht erreichen, sondern wenn einen beliebigen. Da das Netzwerkbauteil keine Eigenentwicklung ist, wird das auch nicht sooo leicht sein. Ich meine, man kann auch Chinaböller in einen Briefkasten (ja, ich meine die alten Dinger, die es vor Email bereits gab) packen. Da würde ich den Spaßeffekt sogar ehrlich gesagt noch höher sehen.

So oder so würde ich allerdings zur Nutzung von my-noxon.de raten.

 

[klimb]

schon klar, ich man kann die favoriten wie man laust und laune hat der anderen noxon besitzer löschen.
ist das normal?

 

[noxon_tom]

schon klar, ich man kann die favoriten wie man laust und laune hat der anderen noxon besitzer löschen.
ist das normal?

ja, weil sich bei vtuner/radioxyz niemand über das Thema Sicherheit Gedanken gemacht hat. Ich hoffe bei my-noxon ist das anders.

Tom

 

[klimb]

das hoffe ich auch. :-)

 

[N0X0N]

schon klar, ich man kann die favoriten wie man laust und laune hat der anderen noxon besitzer löschen.
ist das normal?

Naja, löschen wäre für die betroffenen zwar ärgerlich, bringt dem "Angreifer" aber nicht viel. Verändern ist viel interressanter, da kann man sich so einiges vorstellen: Werbung (Spam), Propaganda, Mobbing/Stalking, wären zum Beispiel denkbar...

So long,

-Eugen

 

[klimb]

auch verändern ist ist ohne probleme möglich.

 

[shaddi]

Mir sind bisher keine Fälle bekannt, wo das so aufgetreten ist. Bei my-noxon.de sollte die Problematik nicht bestehen, da ein im Gerät hinterlegter Code eingegeben werden muss bei der Registrierung.

 

[klimb]

stimmt, da hat sich terratec etwas dabei gedacht bei my-noxon, zum glück auch.

ich muss ehrlich zugeben bei einem noxon benutzer einen sender auch gelöscht zu haben, wollte dies doch vorher testen ob es wirklich auch funktioniert, bevor ich es hier poste.

 

[N0X0N]

ich muss ehrlich zugeben bei einem noxon benutzer einen sender auch gelöscht zu haben, wollte dies doch vorher testen ob es wirklich auch funktioniert, bevor ich es hier poste.

Ach, du warst das?!?
.

 

[klimb]

uups, erwischt, sorry ;-)

 

[Zaphiro]

Das ist ja krass, habe mal scherzhalber diese MAC eingegeben http://www.radio567.com/setupapp/radio567/asp/help/moreinfo_tt.asp (wohl ein Screenshot eines Mitarbeiters)

über "my prefences" bin ich auf seine email (ein gewisser Fabian) gestoßen, nun fehlt mir nur noch sein Passwort

Das Hauptproblem sind sicherlich Spambetreiber, die diese emails per bot etc auskundschaften könnten

 

[Ben.aka.ObiWan]

auch verändern ist ist ohne probleme möglich.

Hi klimb!

Bist Du da sicher was das "verändern" angeht?
Ich habe die Sicherheitslücke jetzt mit meinem eigenen Account getestet. Löschen von gespeicherten Radiostationen war möglich , Hinzufügen aber nicht.

Wie hast Du das getestet?

Grüße
Ben (aka Obi-Wan)
--
"I will never join you, Dooku."

 

[klimb]

ein hinzufügen von radio sendern funktioniert dann, wenn der besitzer der mac adresse noch nicht über das radio567 portal seine e-mail adresse bekannt gegeben hat.
und es kommt noch besser, so hat man die möglichkeit eine email adresse zur angegebenen mac adresse zu vergeben, mit anderen worten, der besitzer der mac adresse hat nichtmal mehr selbst zugriff auf sein radio über das radio 567 portal, da er das passwort zur angegebenen email adresse nicht kennt. wenn das nicht krass ist.