abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
Aktuelle Eilmeldungen

TV: Kabelfernsehen wird Mietersache. Jetzt handeln!
Deine Störung ist nicht dabei? Dann nutz unseren Störungsfinder!

1

Frage

2

Antwort

3

Lösung

"Vodafone Sicherheitswarnung"???
AndiHoffi
Smart-Analyzer
Smart-Analyzer

Da bin ich gerade nichts ahnend von meinem Heimanschluss im Internet unterwegs und erhalte plötzlich die "Vodafone Sicherheitswarnung" aus dem Anhang. Laut dieser Warnung ist eins meiner Geräte mit einem Virus infiziert.

Da steht nicht "könnte infiziert sein", sondern "ist infiziert". Also höchster Handlungsbedarf. Denn ich nehme Sicherheit ernst.

 

Also habe ich bei der Hotline angerufen, um weitere Details zu erfahren. Denn offensichtlich überwacht Vodafone meine DNS-Zugriffe. Da müsste mir dann ja jemand sagen können, welcher Zugriff zu dieser Warnung geführt hat.

 

Der Mitarbeiter bei der Hotline war bemüht, konnte mir aber nicht helfen. Er meinte, dass diese Meldung künftig wohl regelmäßig kommen würde und ich bitte jedesmal alle meine Geräte dem Vodafone-Virenscanner unterziehen müsse, der dann jedesmal nichts findet. Mehr könne er mir auch nicht sagen. Und abschalten kann man das auch nicht.

 

Bei solchen Warnungen muss man doch mehr Informationen rausgeben, worauf das beruht. Wie bekomme ich mehr Informationen, warum ich diese Meldung bekommen habe?

 

Ganz nebenbei: die "Sicherheitswarnung" wurde über eine unsichere Verbindung ausgeliefert. Ist auch nicht unbedingt die beste Idee. Ich hielt sie erst für einen Phishing-Versuch.

 

Noch ein Nachtrag: Warum akzeptiert das Forum hier keine PNG-Dateien? Habe den Anhang jetzt konvertiert.

19 Antworten 19
Julz2k
Royal-Techie
Royal-Techie

In letzter Zeit häufen sich false positive, Vodafone kann im Gegensatz zu meinem alten Provider NetCologne, der vor 10! Jahren bei mir ähnliche Vorschaltseiten anzeigte, aber einen triftigen Grund nennen konnte, dies im Jahre 2021 nicht. Ebenso hat Vodafone seit Wochen Probleme mit SecureNet und schafft es anscheinend nicht mal die Systeme richtig zu konfigurieren,  bzw. ein backup zu ziehen, siehe header.
Du kannst leider nichts machen, außer DNS ändern und darauf achten, dass die Website verschlüsselt ist. Es scheint eine "Blacklist" für viele nicht https Seiten zu geben.

 

Witzig finde ich auch, das man laut Vodafone FAQ: https://www.vodafone.de/privat/service/basic.html
Die Seite angezeigt bekommt, aber wegklicken/bestätigen kann, damit man auf die Seite weitergeletet wird, aber das funktioniert ja anscheinend nicht. Vodafone kennt ihr eigenes System nicht.

Da das System via DNS-Abfragen arbeitet und deine Geräte nicht selbst beim VF-DNS anfragen, sondern deine Geräte den Router anfragen und dieser dann erst beim VF-DNS nachfragt, weiß VF nicht, welches Gerät infiziert ist - sie wissen nur, dass die Abfragen von deinem Anschluss kamen...

Es ist klar, dass sie das betroffene Gerät nicht kennen können. Aber sie haben sowohl den Zeitpunkt als auch den abgefragten DNS-Namen. Und das sollten sie auch anzeigen.

Dann kann ich mir die Sache genauer anschauen.

Und bitte die Formulierung anpassen: "Es KÖNNTE sein, dass eins Ihrer Geräte infiziert ist."

 

Allgemein halte ich diese Art der Kontaktaufnahme für ziemlich bekloppt:

- Kapern einer http-Verbindung im normalen Betrieb.

- Dann keine Weiterleitung auf https, sondern Anzeige der Warnung über eine unsichere Verbindung.

- Aufruf, irgendwas herunterzuladen und auszuführen.

 

Da gingen bei mir im Kopf alle Phishing-Warnlampen an. Zumindest der letzte Schritt leitet auf eine sichere Vodafone-Verbindung um.

 

Trotzdem unter dem Strich ganz schön schlecht gemacht.


@AndiHoffi  schrieb:

- Kapern einer http-Verbindung im normalen Betrieb.


Da wird nichts gekapert - dein Browser versucht eine Website aufzurufen - und der DNS-Server antwortet -statt mit der "korrekten" IP- mit einer IP eines Vodafone-Webservers, der dann die Warnmeldung ausspielt und dabei -für den Browser- wie der originäre Webserver auftritt.

 

Im Prinzip nichts anderes, als würdest du die DNS-Auflösung über die (lokale) HOSTS-Datei anpassen und dann eine Website aufrufen, die über die lokale Hosts-Datei "umgebogen" wurde. Dein Browser merkt in dem Fall gar nicht, dass er statt mit dem "richtigen" Webserver dann mit dem durch dich umgebogenen Webserver spricht.

 

Es ist sogar durchaus möglich, dass es genau das Gerät selbst ist, welches beim Aufruf einer bestimmten Seite diese Fehlermeldung anzeigt.

Mit Wortklaubereien wird das nicht besser.

 

Für mich ist es kapern: Ich möchte eine Webseite aufrufen und Vodafone verhindert das, ohne mich vorher zu fragen. Technisch wird dabei eine Sicherheitslücke im DNS ausgenutzt, um mich nicht zu meinem eigentlichen Ziel zu leiten, sondern zum eigenen Server. Echte Angreifer machen das ähnlich. Das ist für mich nunmal "kapern".

 

Mit DNSSEC wäre diese Art des Angriffs auf meine Verbindung nicht mehr möglich.

 

Edit: In der ersten Version des Posts dachte ich, jemand von Vodafone hätte geantwortet.

Denn in der Mailbenachrichtigung steht:

"(...)Es ist sogar durchaus möglich, dass es genau das Gerät selbst ist, welches beim Aufruf einer bestimmten Seite diese Fehlermeldung anzeigt.

Viele Grüße
DeinVodafoneCommunity-Team"

 

Ich habe nicht gemerkt, dass die Großformel nicht mehr zur zitierten Nachricht gehört.

 

Ich habe den Inhalt des Posts entsprechend angepasst. Sorry @reneromann, falls Du den alten Post gelesen hast.

Diese (doch sehr reißerisch aussehende) Meldung poppte bei mir auch zum ersten Mal auf, nachdem ich die Fritzbox 7530 heute Mittag auf die Version 7.27 aktualisierte. Nach Bezug einer neuen IP durch einen weiteren Router-Neustart war zwar erstmal Ruhe, doch heute Abend dann erneut die Meldung bei Zugriff auf eine Seite ohne SSL/TSL-Verschlüsselung, in meinem Fall videolan.org ohne https.

 

Sowohl im Firefox als auch im Chrome kam die Meldung. Erst nachdem ich sie ein paar mal wegklickte, ließ mich Vodafone auf die Seite. Ich kann mir aber gut vorstellen, dass sie wieder erscheinen wird..

Meine Geräte sind mit ziemlicher Sicherheit alle sauber. Von was geht Vodafone hier aus? Dass mein Gerät nicht an die vom DNS-Server gemeldete IP-Adresse verbindet und damit verdächtig ist? Oder ist dieses Secure Net als DNS-Sinkhole konstruiert (bzw. an ein solches gekoppelt) und dafür gedacht, Kunden-Netzwerke zu identifizieren und zu benachrichtigen, die versuchen mit als schädlich bekannten Domains zu kommunizieren? Wenn ich mir die Werbeseite von Secure Net ansehen, denke ich eher an letzteres. Vodafone will hier wohl, so meine Theorie, gezielt Kunden warnen, deren Netzwerk immer wieder versucht, Kontakt zu schädlichen Servern aufzunehmen.

 

Warum die Warnungen aber, zumindest in unseren Fällen, ausschließlich dann rausgehen, wenn der Nutzer versucht, auf HTTP-Seiten zuzugreifen, erschließt sich mir nicht ganz. Sollte die Warnung dann nicht automatisiert im Browser erscheinen und zwar unabhängig von der aufgerufenen Seite? Oder kann Vodafone nur ungeschützte Verbindungen auf ihre Warnmeldung umleiten? Letzteres wäre allerdings schon komisch, da der Nutzer dann im Ernstfall nur gewarnt werden könnte, wenn er zufällig eine ungesicherte Seite ansteuert, anstatt dass man ihm z.B. eine Email sendet..

 

Denkbar wäre natürlich auch ein False-Positive. Der DNS-Server registriert eine Anfrage an eine unverschlüsselte HTTP-Seite, (insbesondere an eine solche, von der es auch eine HTTPS-Version gibt) als verdächtig und Vodafone gibt die bekannte Warnmeldung raus.

 

Wer hier mehr zu weiß, darf gerne zur Aufklärung beitragen. Ich habe aufgrund der wenigen vorhanden Informationen hier einfach nur meine Mutmaßungen niedergeschrieben...

 

Grüße, Dennis


EDIT: was mir eben noch einfiel, dass vielleicht irgendein Hintergrunddienst auf dem PC oder eine App auf dem Android/iphone versucht, regelmäßig nachhause zu funken und diese Domain warum auch immer geblacklistet wurde... Dann wäre es wie vom TE angemerkt allerdings schön zu wissen um welche DNS-Anfragen es sich da handelt und wie oft diese vonstatten gehen, um der Ursache auf die Spur zu kommen. In der aktuellen Form ist diese Meldung von Vodafone daher nicht sonderlich hilfreich und kann bei dem einen oder anderen vielleicht ungewollt Panik aufkommen lassen..

Zumindest die Frage, warum die Meldung nur bei http-Verbindungen kommt, kann ich beantworten:
Bei einer https-Verbindung würde es eine Sicherheitswarnung im Browser geben, wenn Vodafone die Verbindung übernimmt.
Der Ablauf bei Eingabe von "https://www.spiegel.de" ist ja grob wie folgt:
Zuerst fragt der Browser den Vodafone-DNS nach der IP von spiegel.de. Dann baut der Browser eine verschlüsselte Verbindung zur dieser IP auf und prüft, ob der Server ein TLS-Zertifikat für "spiegel.de" mitliefert. Dieses Zertifikat hat Vodafone aber nicht.
Wenn sie also im ersten Schritt auf eine Ihrer eigenen IPs leiten, bekommt der Nutzer vom Browser eine Warnung, dass die Gegenstelle nicht der richtige Server ist.
Bei einer http-Verbindung hingegen gibt es weder Verschlüsselung, noch eine Prüfung der Identität des Servers.

Aber ist diese Form der Warnung seitens Vodafone dann nicht einfach nur schlecht gewählt? Ich meine, wie viele ungesicherte Seiten ohne gültiges Zertifikat steuert der Normalo-Nutzer denn überhaupt noch an? Man wäre ja dann darauf angewiesen eine ungesicherte Seite aufzurufen, um über die Warnung zu stolpern..

 

Was denkst du, könnte es tatsächlich so sein, dass irgendein Hintergrunddienst (erstmal egal ob schädlich oder nicht) auf einem Gerät im eigenen Netzwerk immer wieder versucht eine Domain anzusteuern, die dem DNS-Server von Vodafone nicht gefällt und sie uns deshalb für die Warnung vormerken?

AndiHoffi
Smart-Analyzer
Smart-Analyzer
Ich sehe das genauso: solche Informationen kommuniziert man auf einem sicheren Kanal und gibt die nötigen Details dazu: was ist wann passiert.
Bekommen sie aber offensichtlich leider nicht hin.
Sehr ärgerlich.