2019, Blog

Was für eine Idee

Während meiner Auseinandersetzung mit AliExpress habe ich mir einen Billigrouter bestellt. Zur Weihnachtszeit waren die Preise dermaßen runter, dass das fast einstellig möglich war. Ich wollte einfach mal wissen ob ich positiv überrascht werden könnte.

Die Marke? Kannte ich vorher nicht. Easy Idea. Heute muss ja alles irgendwie smart und easy sein. Im Laufe des Tests war klar: Viel wird nicht geboten.

Beworben werden diese Router und andere mit einer App über die man das Gerät konfigurieren kann. Yeah. Eine App. Wir haben auch noch nicht genug. Und dann noch installieren aus unbekannter Quelle. Sicherheitsanspruch eher gering. Ich dachte so: “China? App? Bestimmt Trojanerwarnung ohne Ende.”

Naja. Ich lag richtig. Die App wurde von meiner Sicherheitssoftware erkannt. Trojanerfunktionialität.

android.permission.ACCESS_SURFACE_FLINGER (access SurfaceFlinger)
android.permission.ACCESS_COARSE_LOCATION (coarse (network-based) location)
android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
android.permission.ACCESS_WIFI_STATE (view Wi-Fi status)
android.permission.INTERNET (full Internet access)
android.permission.ACCESS_FINE_LOCATION (fine (GPS) location)
android.permission.SEND_SMS (send SMS messages)
android.permission.INTERACT_ACROSS_USERS_FULL ()
android.permission.REORDER_TASKS (reorder applications running)
android.permission.ACCESS_NETWORK_STATE (view network status)
android.permission.GET_TASKS (retrieve running applications)
android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)
android.permission.BROADCAST_PACKAGE_REPLACED (Unknown permission from android reference)
android.permission.READ_EXTERNAL_STORAGE (read from external storage)
android.permission.BROADCAST_PACKAGE_CHANGED (Unknown permission from android reference)
android.permission.BROADCAST_PACKAGE_INSTALL (Unknown permission from android reference)
android.permission.CALL_PHONE (directly call phone numbers)
android.permission.WRITE_SETTINGS (modify global system settings)
android.permission.FLASHLIGHT (control flashlight)
android.permission.READ_PHONE_STATE (read phone state and identity)
android.permission.GET_TOP_ACTIVITY_INFO (Unknown permission from android reference)
android.permission.VIBRATE (control vibrator)
android.permission.CAMERA (take pictures and videos)
android.permission.WAKE_LOCK (prevent phone from sleeping)
android.permission.BROADCAST_PACKAGE_ADDED (Unknown permission from android reference)
android.permission.CHANGE_WIFI_STATE (change Wi-Fi status)
android.permission.RECEIVE_SMS (receive SMS)
android.permission.READ_CONTACTS (read contact data)
android.permission.MOUNT_UNMOUNT_FILESYSTEMS (mount and unmount file systems)
android.permission.RESTART_PACKAGES (kill background processes)
android.permission.GET_ACCOUNTS (discover known accounts)

Für den gewünschten Arbeitsbereich benötigt die App diese Rechte nicht.

Eine weitergehende Analyse zeigt Verbindungswünsche zu einem chinesischen Trackinganbieter (umeng) und weitere Datenverkehre zu 200 Webadressen. Völlig inakzeptabel.

Also App runtergeschmissen, Smartphone mit Factoryreset zurückgesetzt.

Den Router einschalten, das WLAN suchen und das Standartpasswort für die Weboberfläche nutzen. Mehr war nicht nötig, um auf die smarte Oberfläche zu kommen. Eines vorweg: Der Router bietet WLAN für 2,4 Ghz und 5 Ghz und hat noch zwei LAN Schnittstellen für Kabel und eine WAN-Schnittstelle. Das war es dann auch. Mehr kann er nicht. Und auch das macht er nicht sehr gut.

Erste Maßnahme nach der Anmeldung? Richtig: Passwort für die Benutzeroberfläche ändern. Also was schön sicheres rausgesucht. Und? Abgelehnt. Echt jetzt. Der Router mag keine Sonderzeichen. Maximiert die Chancen mit Wörterbuchangriff schnell zum Ziel zu kommen. Dann also ein unsicheres Passwort. Ist eben so. Nur ein Test.

Nächster Schritt: WLANs umbenennen und neue sichere Passwörter einstellen. Problem: Sonderzeichen und Länge des Passwortes. Es war Kuddelmuddel. Manchmal funktionierte ein langes Passwort. Manchmal auch nicht. Grundsätzlich wurde nach dem ersten Sonderzeichen das WLAN-Passwort in der Oberfläche gekürzt angezeigt. Kurze Passwörter ohne Sonderzeichen waren aber voll funktionsfähig. Das freut den sicherheitsbewussten Nutzer zwar nicht, aber was solls? Nur ein Test.

 

Portforwarding und Bandbreitenkontrolle wird auch angeboten. Spielt aber im Gesamtkontext keine Rolle.

Nächster Schritt: Scanne das Teil mal mit der Android-App FING. Von Außen? Keine offenen Ports. Intern? So einiges. Inklusive einer Sambafreigabe für Microsoftdienste, die mit admin/admin offen war. Gott sei Dank konnte man das Passwort nicht ändern. Etwas anderes als admin hätte einen Angreifer wohl nur verwirrt.

 

Der Router arbeitet angeblich mit OPENWRT. Das zu bestätigen war mir nicht möglich. Ich glaube es ehrlich gesagt nicht. 😉

Bleibt noch die Stärke des WLAN. Sendeleistung? Super. Wie sieht es mit der Stabilität und Qualität aus? Nun, dafür bietet sich ein Streaminganbieter an. Schön HD-Qualität streamen. Aber, was soll ich sagen. So viele verpixelte Bilder habe ich lange nicht mehr gesehen. Es war einfach nur schlecht. Auch die Verbindung konnte bei Dauerbeschuss mit The Orville nicht aufrechterhalten werden. Ein totaler Reinfall.

Durch die Sambafreigabe kann ich das Teil nicht mal für Gäste freigeben, die ich nicht mag oder loswerden will. Ich hätte ein schlechtes Gewissen. Wer weiß, was wer dort ablegen würde?

Ergebnis: Keine Technik aus Chinaproduktion, die keinen europäischen oder deutschen Qualitätsbeauftragten hat. Den meisten Schrott den wir hier in Deutschland kaufen, kaufen wir mit Made in China. Aber die Ansprüche sind hier doch höher. Bei den fehlenden Sicherheitsanforderungen in diesem Beispiel fühlt man sich gleich wie in einem Land in dem die Regierung grundsätzlich Hintertüren verlangt.

Den Verkäufer habe ich angeschrieben. Eine Antwort kam jedoch nie. Der Kommentarbereich auf AliExpress war dann mein Rachefeldzug. In der Hoffnung, dass niemand mehr dieses Teil kauft. Also bei dem Händler, den ich nutzte. Die Technik selbst bieten immer mehrere an. Aus diesem Grund sollte man auch die Bewertungen des gleichen Produktes bei anderen Anbietern durchstöbern.

 

PS: Mit genannten Marken und Herstellern besteht kein Vertragsverhältnis.

Tagged , , , , ,