Marcel WaldvogelJun 25, 2025

Über VoIP-Telefone für Firmen werden auch sensitive Inhalte geteilt. Da sollten die Prozesse rund um die Telefone auch ein Mindestmass an IT-Sicherheit bieten.

#Yealink nutzt jedoch für seine VoIP-Telefone einen Provisionierungsprozess (~"Registrierungsprozess"), mit dem unbefugte Dritte an die Zugangsdaten für die Telefonieserver der Firma kommen können.

#DNIP #VoIP
https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/

Yealink-VoIP-Telefone: Insecurity by Design - Das Netz ist politisch

Was würdest du sagen, wenn dein Telefon dich abhören würde? Ok, es hört dich nicht selbst ab. Aber es geht so sorglos mit seinen Anmeldeinformationen im

Das Netz ist politisch
Show threadMarcel Waldvogel

Die Ursache:

#Yealink untergraben die Sicherheit ihrer eigenen Zertifikate vollständig (mir standen die Haare zu Berge, als ich das erfuhr!) Jedes Telefon hat eine Kopie der CA, inklusive dem eigentlich super gut zu schützenden Private Key.

Die Auswirkungen:

Unbefugte Dritte können die Zugangsdaten via Internet zu den Telefonieservern erlangen und damit Zugang zur Telefonnummer und Adressbüchern. In einem weiteren Schritt ist auch Mithören von Telefonaten möglich.
2/2
https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/

Yealink-VoIP-Telefone: Insecurity by Design - Das Netz ist politisch

Was würdest du sagen, wenn dein Telefon dich abhören würde? Ok, es hört dich nicht selbst ab. Aber es geht so sorglos mit seinen Anmeldeinformationen im

Das Netz ist politisch
Jun 25, 2025 at 5:36amWeb
Show threadSylvester TremmelJun 25, 2025
@marcel Cooler Artikel, danke. Im Toot meinst Du vermutlich nicht den "public" sondern den private key? Irgendeine Idee warum Yeelink den auf die Telefone gepackt hat?