Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Submitter: ieperlingetje

Telenet verzendt de login-gegevens van gebruikers van zijn Yelo-dienst onversleuteld, waardoor deze eenvoudig door kwaadwillenden te onderscheppen zijn. Met de Yelo-dienst kunnen Telenet-klanten tv kijken op pc, iPhone en iPad.

Telenet heeft Yelo vorige week geïntroduceerd en biedt daarmee de mogelijkheid om via pc, iPad of iPhone live online tv te kijken en een televisiegids te raadplegen. Binnenkort moet bovendien video-on-demand onderdeel van de dienst worden. Als iemand echter mobiel inlogt, worden de inloggegevens onversleuteld verstuurd, wat een man-in-the-middle-aanval kinderlijk eenvoudig zou maken.

Een kwaadwillende kan vervolgens persoonlijke gegevens van de klant inzien, facturen bekijken en wijzigingen doorvoeren wat de afname van diensten betreft. Via de Yelo-app zou hij zelfs de dvd-recorder van de betreffende klant kunnen bedienen.

Telenet heeft het bestaan van het lek erkend, maar acht het risico op misbruik klein. "Yelo is bedoeld voor residentieel gebruik. De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk. Voor hen is er geen enkel probleem", aldus Telenet-woordvoerder Stefan Coenjaerts tegen De Standaard.

Eind januari moet er een update komen die het lek dicht en voor versleuteling van de gegevens zorgt. Gebruikers moeten dan hun iPad- of iPhone-applicatie updaten, zo luidt het advies.

Moderatie-faq Wijzig weergave

Reacties (34)

" De meeste klanten gebruiken Yelo dan ook thuis", best wel apart, zonder een telenet decoder in je netwerk is er bar weinig te kijken behalve misschien programmagegevens. Wat doen die anderen dan (even kijken of t ook buiten t thuisnetwerk werkt zeker) ?
De login wordt ook gebruikt om in te loggen op Mijn Telenet, waar alle persoonlijke gegevens te vinden zijn.
Ja, maar deze wordt niet onversleuteld verzonden, enkel wanneer ingelogd wordt via de Yelo app.
Dat is niet waar. Je kan op een publiek netwerk of gelijk welk een netwerk kijken naar de zenders. Het enige dat je moet hebben is een abbonement op Digitale Televisie bij Telenet. De login is dan genoeg om overal te kijken.
Ik heb het getest op de iPad via een Belgacom vldsl-lijn en ik kreeg de melding dat Live-tv niet werkte omdat het over een Telenet-lijn moet. ;)
Enige wat je wel kon doen, was de tv-gids bekijken (en misschien je decoder programmeren, dat heb ik niet getest...)
Nou heb ik er weinig verstand van.. maar hoe eenvoudig is het dan om die gegevens te onderscheppen??
Een van de mogelijkheden: je maakt verbinding op een computer op hetzelfde onbeveiligde netwerk als de yelo-client, en je voert tcpdump of wireshark uit, terwijl de yelo-client inlogt. Login en wachtwood zijn dan uit te lezen in de gegevens die opgevangen worden.
nog net niet, die gegevens zijn geen multicast.
Je moet als arp-poisoning toepassen, wifi data opvangen of het verkeer naar de router onderscheppen met een hub ofzo.
True, het is eigenlijk enkel gevaarlijk als je gebruik maakt van onbekende/onbeveiligde WIFI hot-spots. Maar dan beperkt het zich niet tot telenet gegevens, maar tot al je paswoorden die je ingeeft op een website die geen SSL verbinding heeft.
Dat vraag ik mij ook af.
Ik dacht dat onversleutelde gegevens allen zichtbaar waren voor iedereen die je onderweg tegenkomt (zegmaar iedereen uit het tracert rijtje), dus voornamelijk internetproviders.

En misschien is het nog af te luisteren via je onbeveiligde netwerkverbinding (googlesteetviewauto?)

Of zit ik er nu naast?
TBh de meeste wifi netwerken van telenet zijn beveiligt tenzij de mensen een harde reset ervan hebben uitgevoerd. En daarna niet niet meer hebben beveiligd.

De nieuwe wifi ap's en modems zijn standaard gewoon beveiligd.

En ja om het niet te versleutelen is idd geen slimme keus van telenet geweest.
De D-Link AP's die ze jaren hebben geplaatst zijn WEP-beveiligd. De nieuwe Motorola modem/routers zijn WPA-beveiligd, maar zijn toch nog te kraken als je er wat moeite in steekt.
Dat maakt op zich niet uit, er is een encryptie van elke client naar de router, iets wat er niet is bij een onbeveiligd netwerk. Het wachtwoord weten maakt dus niets uit, het gaat er om of er sowieso een wachtwoord opstond.
encryptie heb je pas als je een VPN opzet.
Ik kan 1000 non ITers vragen wat een VPN doet en er zal er geen enkel een antwoord kunnen geven laat staan het ook daadwerkelijk gebruiken.
En nee modem/routers hebben nooit zulke instelliggingen aanstaan om mee te beginnen anders zou er nooit een PC/laptop of wat dan ook toegevoegd kunnen worden.

Wat ze hooguit doen is een voor geprogrammeerde WPA2 key als sticker op je apparaat plakken zodat je in ieder geval niet kan inloggen met 0000 of 1243 ofzo.

uitzondering tegenwoordig is de hardware matig knop om verbinding te maken die op somige moderne routers aanwezig zijn en zelfs die zijn niks anders dan een MAC adres lock en dus weer geen encryptie.
gewoon ronduit idioot als het gaat om persoonlijke gegevens.
Telnet geeft aan ervan te weten. Als telnet zou ik de App offline halen en niet eerder publiceren tot dit in orde is.
En toch snap ik niet waarom mensen hier nu moord en brand over schreeuwen, terwijl Telenet al sinds zijn bestaan geen encryptie toestaat op de POP3-mailserver. Laten ze eerst daar maar iets aan doen, want dat wordt toch ook wel door veel mensen gebruikt, ook over onbeveiligde publieke draadloze netwerken (zoals hun eigen Telenet hotspots vermoed ik?).
Dat was ook mijn eerste wat in mij op kwam, dus ging ik een checken of dit nog wel klopt.
En wat blijkt? SSL is tegenwoordig toegelaten. Het certificaat zit zelf op imap.telenet.be ipv pop.telenet.be, imap kan nu ook.
Mij zegt kmail: account does not have imap enabled en ik kan nergens vinden waar ik dat kan enablen. En googlen op "telenet imap" levert ook niet zo veel op. (telenet lijkt veel te hard op telnet (wat _wel_ populair is :P )).
"De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk"

programmeren van de decoder doe ik nochtans meestal als ik op een ander netwerk zit...

slordig
Weer typisch telenet met hun struisvogelpolitiek.
Ik zie het nut van hun Yelo niet echt in, ik kijk wel TV op mijn TV.
Ipad gebruik ik wel voor Youtube of andere gein.

Innovatief is het wel, daar niet van, maar als je eerlijk bent, is het niet meer dan een zoveelste gimmick die je eenmaal de proefperiode voorbij is geld kost.
"De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk."

Wie was het ook al weer die overal "gratis" onbeveiligde draadloze netwerken "installeerde"? En bij welke provider zitten de mensen met, nog steeds, een onbeveiligd netwerk vandaag de dag voornamelijk? En wat gaat het oh zo nuttige BIPT hier over zeggen? Wie waakt er eigenlijk over zulke wanpraktijken? Juist ja de consument (die er meestal niks van kent) en niemand anders. Dat is de kracht en drijfveer van die bedrijven.
Niets nieuws onder de zon, voor je lokale telemeter word er al jaren dag gebruik gemaakt van SOAP en worden je login gegevens ook gewoon in plain-text doorgestuurd. Nu is de groep die een lokale telemeter gebruikt misschien niet zo groot, maar maakt dat wat uit?

[Reactie gewijzigd door IStealYourGun op 21 januari 2011 21:13]

Geen idee hoe dat tegenwoordig is, maar vroeger ging die SOAP wel over HTTS...
De logingegevens van iedereen die gebruik maakt van een onbeveiligd netwerk liggen op straat. Dit is niet alleen bij Telenet-klanten zo en is ook niet specifiek aan Yelo. Ik heb het in de Standaard onlangs ook gelezen, het is jammer dat Tweakers.net dit zomaar overneemt.

Waar echter wel wat aandacht aan geschonken mag worden is dit:
"Yelo is bedoeld voor residentieel gebruik. De meeste klanten gebruiken Yelo dan ook thuis, via een beveiligd thuisnetwerk. Voor hen is er geen enkel probleem"
Het grootste gedeelte van de Telenet "gratis draadloze installaties" is namelijk WEP-beveiligd (en dan nog 64-bit). Officieel een beveiliging, voor iedereen die er iets van kent net zo gemakkelijk te gebruiken als een netwerk zonder. De nieuwe all-in-one Motorola modem/routers van Telenet zijn standaard WPA(1) beveiligd, dat is beter, maar omdat de passphrase overal dezelfde lengte heeft, is die met wat CUDA geknutsel ook redelijk snel te kraken.

[Reactie gewijzigd door Petervanakelyen op 21 januari 2011 20:54]

En waar zit het verschil, als je bij telenet je mail op vraagt, via pop3 stuur je ook in clear text diezelfde username, en datzelfde passwoord door. Gelijk wie, dat er met een sniffer tussen zit, kan dat uitlezen.

Dat probleem bestaat al jaren, maar over die yelow gaat men nu ineens moeilijk doen ? Rare jongens.
vandaar dat ik mijn telenet mailbox NIET gebruik!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True