Der hessische Sicherheitsanbieter VTRUST ist laut einem Bericht von Heise.de auf eine Sicherheitslücke im Autoprovisioinierungsverfahren des chinesischen VoIP-Telefonherstellers YeaLink gestoßen. Die Schwachstelle soll sich aus der Ferne ausnutzen lassen. So könnte darüber auf "Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten" zugegriffen werden, schreibt Heise. In Deutschland gebe es mehr als 20 VoIP-Provider, die Produkte von YeaLink anbieten oder unterstützen.
Eines dieser Unternehmen ist der Münchner Cloud-PBX-Anbieter Nfon, der mit einem Statement reagierte. Man habe die YeaLink-Telefone im Portfolio und könne die beschriebene Lücke bestätigen. Eine Ende des vergangenen Monats eingeführte Zwei-Faktor-Authentifizierung (2FA) sei jedoch in der Lage, sie zu schließen. "Wir führen regelmäßig Audits unserer Plattform durch und arbeiten kontinuierlich an der weiteren Verbesserung", ergänzt Jan-Peter Koopmann, Chief Technology Officer bei Nfon.
Aufgrund eigener Analysen habe man beschlossen, "die Authentifizierung von Endgeräten weiter zu entwickeln, um unseren höchsten Ansprüchen auch in Zukunft zu genügen und für unsere Kunden die höchstmögliche Sicherheit zu garantieren". Bei der Inbetriebnahme neuer Telefone ist nach seinen Angaben nun eine einmalige Eingabe einer sogenannten Phone Authentication PIN (PAP) notwendig.
Ein mit der Nfon-Plattform verbundenes Endgerät muss deswegen neben der automatischen Überprüfung etwaiger Zertifikate zusätzlich mit einem sechsstelligen PAP-Code autorisiert werden. Man habe das Verfahren aber bewusst so konzipiert, dass "der gewohnte Komfort der Nfon-Autoprovisionierung kaum eingeschränkt wird", sagt Koopmann. Man sei so überzeugt von dem Verfahren, dass es sogar zum Patent angemeldet wurde. Vor wenigen Wochen erst hatte Nfon den Software-Anbieter Onwerk übernommen.