Neues Sicherheitsloch bei WebTV

Der Onlinedienst WebTV hat derzeit mit einem schweren Sicherheitsproblem zu kämpfen.

Unbefugte können auf fremde WebTV-Settop-Boxen, die das Surfen via Fernseher ermöglichen, zugreifen und E-Mails unter dem betreffenden Namen wegschicken.

Möglich wird dies durch mehrere Zeilen Code, die derzeit massiv auf alt.discuss.webtv.hacking und WebTV-internen Newsgroups verbreitet werden. Besagter Code kann in E-Mails oder Webpages eingebettet werden und wird von den WebTV-Boxen ausgelesen. Der Code existiert bereits in mehreren Varianten. Neben der Grundfunktion, Mails von fremden Accounts wegzuschicken und damit die Herkunft von Spam, Morddrohungen und ähnlichem zu verschleiern, kann auch der komplette Mail-Eingang und -Ausgang an vorgegebene E-Mail-Adressen weitergeleitet werden.

WebTV

Security through Obscurity

In einer ersten Reaktion hat WebTV seine User aufgefordert, einfach die besagten Newsgroups nicht zu besuchen.

Ironie des Schicksals ist, dass die Vorlage zu dem Code von WebTV anscheinend einst selbst erstellt wurde, um das Surfverhalten seiner User zu studieren.

Der Code ist bereits seit längerem im Untergrund im Umlauf, wurde bisher aber von eingeweihten Privatpersonen eher als Usertracking-Tool verwendet oder einfach als Werkzeug, um festzustellen, ob eigene E-Mails bereits eingelangt waren.

Filter filtert nicht

Der WebTV-Support hat derzeit alle Hände voll zu tun, um seine aufgebrachten User zu beruhigen.

Unverständlich ist, wieso WebTV seine umfangreiche Filtermaschine, die seine Benutzer vor dem Bösen und Verwerflichen des Internets schützen soll, nicht auf den besagten Code trimmt.

WebTV wurde in der Vergangenheit bereits mehrmals von Sicherheitslöchern heimgesucht - beispielsweise von der "Amnesia Bomb", mit deren Hilfe Useraccounts gelöscht werden konnten. Der schwerste Bug wurde im September vergangenen Jahres entdeckt; der WebTV Spamblocker spuckte User- und Subscriber-IDs aus.