Anonabox: Wenig Eigenleistung und Sicherheitsmängel

Hardware::Systeme

Anonabox: Wenig Eigenleistung und Sicherheitsmängel

Eine Sicherheitsanalyse der in der Vergangenheit in Kritik geratenen »Anonabox« bescheinigt der Implementierung viele Sicherheitsmängel. Sicherheitsforscher zweifeln zudem an der Eigenleistung des Entwicklers und konstatieren dem Gerät eine weitgehend unveränderte OpenWrt-Konfiguration.

Von Mirko Lindner

August Germar

Anonabox Gen 5

Zwar war die Idee als solches nicht neu, doch schien sie zahlreichen Anwendern zu gefallen – ein Gerät, das beispielsweise Zensurbehörden umgeht, sodass die Nutzer weiterhin auf sämtliche Informationen zugreifen können. Anonymisierung und Verschlüsselung sollten gleichsam in einem Gerät vereint sein und auch von Anwendern eingesetzt werden können, die sich weniger gut mit der entsprechenden Software auskennen. Innerhalb kürzester Zeit erreichte der Initiator der Anonabox-Kampagne nicht nur das angepeilte Ziel von 7500 US-Dollar, sondern übertraf es massiv. Es gelang August Germar, knapp 600.000 USD an Mitteln zu sammeln, doch nach nur wenigen Tagen wurden Proteste laut, dass es sich beispielsweise bei der Hardware um einen preiswerten chinesischen Router und nicht wie von den Entwicklern dargestellt um eine Eigenentwicklung und offene Hardware handle. Kickstarter stoppte die Kampagne kurz darauf, woraufhin Germar einen neuen Versuch auf der Crowdfunding-Plattform Indiegogo startete, wo es ihm gelang, über 82.000 USD einzusammeln.

Laut Anonabox-Chefentwickler Germar sollte es in der »neuen Anonabox« zahlreiche Verbesserungen geben. Dazu zählen unter anderem eine gehärtete OpenWrt-Version und die letzte Tor-Version mit Konfigurationsdateien des P.O.R.T.A.L-Projekts (Personal Onion Router to Assure Liberty). Dem widerspricht allerdings eine Untersuchung von Lars Thomsen auf reclaim-your-privacy.com. Thomsen ist zwar nicht gänzlich unparteiisch - versuchte er doch, mit »Cloak« ein ähnliches Projekt zu finanzieren - doch wurden seine Ergebnisse weitgehend auch durch andere Forscher bestätigt.

Demnach komme zwar das Gerät der eigentlichen Aufgabe – einer Anonymisierung – weitgehend nach, gleichzeitig setzt die Box aber ihre Nutzer einem massiven Risiko von Angriffen aus. So sei beispielsweise das werksseitig eingerichtete WLAN-Netzwerk komplett offen. Für ein auf Sicherheit ausgelegtes Gerät sei das ein Fiasko. Die UCI-Konfiguration weist zudem zahlreiche Fehler in der Standardeinstellung auf, weshalb diverse Funktionen nicht korrekt eingerichtet werden.

Wie die Sicherheitsuntersuchung weiterhin feststellt, können sich Angreifer problemlos auf dem Gerät über ein fest eincodiertes Root-Passwort einlogen und es aus der Ferne manipulieren. Im Auslieferungszustand ist die Anonabox nicht nur über das Netzwerk erreichbar (User: root, Passwort: admin), sondern auch leicht angreifbar. Da das Passwort nicht dokumentiert ist, ist es dem Anwender in der Standardeinstellung darüber hinaus nicht möglich, es zu verändern und anzupassen. Immerhin ändert das Gerät bei jedem Neustart die eigene SSID, was einem 20-Zeiligen Skript zu verdanken ist und laut Aussage der Sicherheitsforscher nicht nur hässlich, sondern auch eine der wenigen Neuerungen an OpenWrt darstelle.

Ansonsten ist die Firmware der Box laut Thomsen weitgehend mit der Standardinstallation der Embedded-Distribution identisch. Gespickt mit Fehlern sei die Box allerdings gefährlich, da sie ein falsches Gefühl der Sicherheit vorgaukele, so die Untersuchung. Dem pflichten auch andere Sicherheitsexperten bei, wie beispielsweise Steve Lord, der die aktuelle Version der Box als »extrem riskant« bewertet.

Wie das Magazin »Wired« berichtet, hat Anonabox nun reagiert und tauscht die betroffenen Geräte umgehend um. Laut Aussage des Unternehmens seien insgesamt 350 der 1500 ausgelieferten Boxen von den Problemen betroffen. 137 Geräte sollen bereits umgetauscht worden sein. Das Unternehmen verspricht deshalb, sich um das Problem zu kümmern und Anwender über die Risiken nicht nur aufzuklären, sondern sie auch umgehend zu minimieren.

Nachdem die Anonabox bereits im Vorfeld der Freigabe für Schlagzeilen wegen ihrer mangelnden Sicherheit sorgte, sind die neuerlichen Untersuchungen umso verheerender – untergraben sie nicht nur die Sicherheit, sondern auch die Kompetenz des hinter der Box stehenden Teams. »Das passiert, wenn man amateurhaftes Verhalten mit Geld kombiniert«, kommentiert Lord, unter anderem Gründer der Sicherheitskonferenz »44Con«, lakonisch das neuerliche Treiben.