Anonabox: Heftige Kontroverse rund um Tor-Router-Projekt
17. Okt. 2014, 10:42
| 0 Kommentare
Baugleiche Hardware aus China weckt Verdacht, Sicherheitscommunity skeptisch.
Ihren Ausgang genommen hatte die Diskussion unter anderem auf
Reddit. Dort postete ein Nutzer Bilder eines chinesischen Routers, den er auf der
Handelsplattform AliExpress gefunden hatte. Dessen Gehäuse und auch seine Platine entsprechen der vierten und aktuellen Generation der Anonabox, die Germar nach eigenen Angaben über die vergangenen Jahre entwickelt hat.
Der Projektbetreiber stellte sich kurz darauf einer
"Ask Me Anything"-Fragerunde auf der Plattform. Dort auf die Entdeckung angesprochen, reagierte er mit wenig zufriedenstellenden Antworten. German schiebt den Großteil des Ärgers auf schlechtes Marketing seinerseits und bestreitet die ihm von einigen Nutzern unterstellten Betrugsabsichten.
Doch auch die Sicherheitscommunity hat die Anonabox mittlerweile entdeckt, berichtet Wired. Und dort zeigt man sich besorgt. So habe die Firmware, eine angepasste OpenWRT-Version, noch schwerwiegende Löcher, die den Schutz via Tor aushebeln könnten. So verfügen alle Boxen über das gemeinsame Root-Passwort "developer!". Dazu verfügt das WLAN, das von der Anonabox erzeugt wird, standardmäßig über gar keinen Passwortschutz.
Wer das Gerät also ohne Konfigurationsanpassung in Betrieb nimmt, würde sich einem großen Risiko aussetzen. In der finalen Anleitung, beteuert Germar, soll deutlich darauf hingewiesen werden, die Standardeinstellungen nach dem ersten Start der Anonabox umgehend zu ändern. Hinzu kommt die Tatsache, das für die Router geklonte SSHD Host Keys verwendet würden, was jede Box im gleichen Netzwerk verwundbar für Kompromittierungen per SSH machen würde. Probleme, die vor allem im Hinblick auf anvisierte Zielgruppen wie politische Aktivisten sehr schwer wiegen können.
Quelle:
derstandard.at