Beveiligingsproblemen met Telenet Yelo
Geplaatst: 21 jan 2011, 08:01
Via de Yelo-app van Telenet worden de gegevens van Telenet-gebruikers onversleuteld verzonden. Iemand met slechte bedoelingen kan op die manier heel eenvoudig de Telenet-account van Yelo-gebruikers binnendringen.
Enkele weken geleden lanceerde Telenet Yelo, een nieuwe dienst waarmee Telenet-klanten tv kunnen kijken op pc, iPhone en iPad. Via de Yelo-applicatie heeft de gebruiker de gebruiker toegang tot live televisie, een tv-gids en een beperkt aantal films op aanvraag. Binnenkort komt daar ook video-on-demand bij.
Een Twitter-gebruiker signaleerde onze redactie dat de login-gegevens in de Yelo-app niet beveiligd zijn. Wanneer iemand zich op Yelo aanmeldt, is het voor iemand met slechte bedoelingen een koud kunstje om de login-gegevens te stelen.
Met de login-gegevens van Yelo kan men alle klantengegevens bij Telenet beheren. Wie uw paswoord bemachtigt, kan probleem uw facturen bekijken, mails lezen of uw producttype aanpassen. Via de Yelo-app zou een hacker probleemloos vanop afstand uw dvd-recorder kunnen bedienen. Als Yelo binnenkort wordt uitgebreid met video on demand, zou hij bovendien op uw rekening tv kunnen kijken.
Telenet bevestigt het beveiligingslek, maar nuanceert de omvang van het probleem. 'Yelo is bedoeld voor residentieel gebruik. De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk. Voor hen is er geen enkel probleem', zegt Telenet-woordvoerder Stefan Coenjaerts.
Het bedrijf voorziet voor het einde van de maand een update van de Yelo-applicatie waarbij de gegevens wel geëncrypteerd verstuurd worden.
Telenet raadt gebruikers aan om, zodra de nieuwe versie van Yelo beschikbaar is, hun iPad of iPhone te updaten. Wie vermoedt dat zijn account gekraakt is, verandert het best onmiddellijk zijn paswoord.
Volgens Jan Guldentops van het beveiligingsbedrijf BA is Yelo lang niet de enige app die gegevens onversleuteld verstuurd. Maar in het geval van Yelo gaat het wel om gegevens die toegang geven tot heel wat informatie. Volgens Guldentops staan veel ontwikkelaars niet stil bij het beveiligingsaspect van hun apps. 'Versleutelen van de gegevens is nochtans heel eenvoudig,' zegt Guldentops.
Bron
Leuke reactie trouwens, op DS: Het is bij Telenet dus een omgekeerde wereld. Open standaarden zoals DVB-C versleutelen ze zodat ze hun minderwaardige hardware kunnen slijten, en cruciale veligheidsdata laten ze gewoon open en bloot.
Enkele weken geleden lanceerde Telenet Yelo, een nieuwe dienst waarmee Telenet-klanten tv kunnen kijken op pc, iPhone en iPad. Via de Yelo-applicatie heeft de gebruiker de gebruiker toegang tot live televisie, een tv-gids en een beperkt aantal films op aanvraag. Binnenkort komt daar ook video-on-demand bij.
Een Twitter-gebruiker signaleerde onze redactie dat de login-gegevens in de Yelo-app niet beveiligd zijn. Wanneer iemand zich op Yelo aanmeldt, is het voor iemand met slechte bedoelingen een koud kunstje om de login-gegevens te stelen.
Met de login-gegevens van Yelo kan men alle klantengegevens bij Telenet beheren. Wie uw paswoord bemachtigt, kan probleem uw facturen bekijken, mails lezen of uw producttype aanpassen. Via de Yelo-app zou een hacker probleemloos vanop afstand uw dvd-recorder kunnen bedienen. Als Yelo binnenkort wordt uitgebreid met video on demand, zou hij bovendien op uw rekening tv kunnen kijken.
Telenet bevestigt het beveiligingslek, maar nuanceert de omvang van het probleem. 'Yelo is bedoeld voor residentieel gebruik. De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk. Voor hen is er geen enkel probleem', zegt Telenet-woordvoerder Stefan Coenjaerts.
Het bedrijf voorziet voor het einde van de maand een update van de Yelo-applicatie waarbij de gegevens wel geëncrypteerd verstuurd worden.
Telenet raadt gebruikers aan om, zodra de nieuwe versie van Yelo beschikbaar is, hun iPad of iPhone te updaten. Wie vermoedt dat zijn account gekraakt is, verandert het best onmiddellijk zijn paswoord.
Volgens Jan Guldentops van het beveiligingsbedrijf BA is Yelo lang niet de enige app die gegevens onversleuteld verstuurd. Maar in het geval van Yelo gaat het wel om gegevens die toegang geven tot heel wat informatie. Volgens Guldentops staan veel ontwikkelaars niet stil bij het beveiligingsaspect van hun apps. 'Versleutelen van de gegevens is nochtans heel eenvoudig,' zegt Guldentops.
Bron
Leuke reactie trouwens, op DS: Het is bij Telenet dus een omgekeerde wereld. Open standaarden zoals DVB-C versleutelen ze zodat ze hun minderwaardige hardware kunnen slijten, en cruciale veligheidsdata laten ze gewoon open en bloot.
