1. Start
  2. LTE-Router

LTE-Router Sicher­heits­lücken in drei Hotspots

1
LTE-Router - Sicher­heits­lücken in drei Hotspots

Router mit Schwach­stellen. Asus 4G-N16, D-Link DWR-933 und TP-Link Archer MR500 (von links nach rechts) zeigten im Test kritische Lücken. © Stifung Warentest

In WLan-Routern mit Mobil­funk­modem von Asus, D-Link und TP-Link fanden wir kritische Sicher­heits­lücken. Betroffene sollten schnell handeln.

Router von Asus, D-Link und TP-Link betroffen

Im derzeit laufenden Test von 14 LTE-Routern haben unsere Tester bei drei Modellen kritische WLan-Sicher­heits­lücken gefunden. Solche Geräte dienen dazu, übers Hand­ynetz eine Internet­verbindung herzu­stellen und sie über ein WLan-Funk­netz an mehrere Handys, Tablets oder Notebooks weiterzugeben. Es gibt Geräte mit Akku für unterwegs – etwa auf Dienst­reisen oder im Urlaub – und solche mit Netz­teil für daheim.

Im aktuellen Test zeigen sich drei Modelle anfäl­lig für Hacker-Angriffe, eins mit Akku von D-Link und zwei mit Netz­teil von Asus und TP-Link:

  • Asus 4G-N16 Wireless-N300 LTE Modem Router
  • D-Link DWR-933 4G/LTE Cat 6 Wi-Fi Hotspot
  • TP-Link Archer MR500 4G+ Cat6 AC1200 WLAN Dual Band Gigabit Router

Einfalls­tor für Hacker-Angriffe

Bei allen drei Geräten fanden unsere Tester im Ausliefer­zustand Sicher­heits­lücken in der WPS-Technik (Wi-Fi Protected Setup). Hacker können sich darüber Zugang zum WLan der Geräte verschaffen, sofern sie sich inner­halb der Funk­netz-Reich­weite befinden. So könnten sie den Netz­werk­verkehr abhören, Daten von mit dem WLan verbundenen Geräten abgreifen oder den mobilen Internet­zugang des Hotspots für kriminelle Zwecke miss­brauchen. WPS soll dazu dienen, Endgeräte leichter mit WLan-Netz­werken zu verbinden, gilt aber schon lange als unsicher.

WPS abschalten hilft nur bei zwei der drei Geräte

Sofort­hilfe: Bei den Geräten von Asus und TP-Link sollten Nutzer im Einstell­menü die WPS-Funk­tion abschalten. Beide lassen sich dann sicher betreiben. Sie funk­tionieren auch ohne WPS. Nutzern des D-Link hilft der Schritt allerdings nicht: Hier besteht die Sicher­heits­lücke in der geprüften Firmware-Version auch dann, wenn WPS im Menü deaktiviert ist! Bis es für dieses Modell ein Update gibt, das die Lücke schließt, lassen sich Hacker­angriffe zumindest erschweren, indem man die voreinge­stellte, unsichere Stan­dard-WPS-Pin ändert.

Update: Hersteller aktualisieren Firmware

Wir haben die drei Anbieter über die Sicher­heits­lücken informiert, um ihnen Gelegenheit zu geben, die Probleme zu beheben. Auch das Bundes­amt für die Sicherheit in der Informationstechnik (BSI) haben wir benach­richtigt.

TP-Link reagierte schnell mit einer eigenen Warnmeldung und hat bereits eine neue Firmware-Version veröffent­licht, die das Problem beheben soll.

D-Link kündigte uns gegen­über bei Erscheinen dieser Meldung ein Firmware-Update für den 21. April an, das Nutzer dann installieren sollten. Die aktualisierte Firmware ist seit dem 20. April auf der Website des Anbieters verfügbar.

Asus teilte uns bei Erscheinen dieser Meldung mit, man werde „schnellst­möglich“ eine Software-Aktualisierung veröffent­lichen, die das Problem behebe. Seit Ende Juni ist diese nun verfügbar. Sie lässt sich auf der Website von Asus herunter­laden oder über das Konfigurations­menü des Routers installieren.

Tipp: Die voll­ständigen Test­ergeb­nisse zu 14 mobilen Hotspots finden Sie im LTE-Router-Test der Stiftung Warentest.

1

Mehr zum Thema

1 Kommentar Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

LoginRegistrieren

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

  • r3sti am 21.04.2023 um 13:59 Uhr
    TP Link

    Bitte auch erwähnen, dass das Sicherheitsproblem seit 2014 bekannt ist und das Gerät von TP Link bereits End of Life ist nach gerade mal 6 Monaten am Markt und somit kein weiterer Support zu erwarten ist.