Heimnetzwerke - WIFI, LAN, Router und Co 16.506 Themen, 80.985 Beiträge

Verfolgung starten Optionen

Aktuelles FRITZ!Box- Update kritisch betrachtet

angelpage / 15 Antworten / Flachansicht Nickles

Auch in Nickles spielt ja der "Angriff" auf die FRITZ!Box eine herausragende Rolle und löste fast immer unberechtigt Panik aus.

Jeder, der wenigstens einmal in die Bedienungsanleitung geschaut hat, kann die Methoden, Dienste und Verfahrensweisen für die Fernsteuerung und den Fernzugang herauslesen (oder eben auch bewußt einstellen).

Vereinfacht aber: Der Zugang dazu aus dem Internet muß ausdrücklich freigegeben sein (Portfreigabe 443), zusätzlich benötigt man die aktuelle öffentliche IPv4- Adresse, ein bis mehrere gültige Passwörter und genau die bei der Einrichtung von MyFRITZ verwendete eMail- Adresse, um Zugang auf die FRITZ!Box und ihre Dienste/ Features zu erhalten. Ein Zugang ohne diese Angaben war bisher auch nicht möglich. Super!

Bisher kursierten aber Gerüchte, und auch AVM sieht in seiner bisherigen Argumentation immer noch recht hilflos aus.

Natürlich kann der Zugang aus zwei Gründen erlaubt sein:

Der FRITZ!Box- Nutzer braucht das so, weil er die FRITZ!Box und ihre Dienste aus der Ferne managen will (als berechtigter Administrator über große Entfernungen),

oder aber

weil ein Laie ohne Mindestkenntnisse in der Box die "Expertenansicht" aktiviert und zusätzlich -entgegen dem Handbuch- unqualifiziert verstellt hat.Das kann allerdings auch beim Auto (Bremse/Gas verwechselt) passieren, ohne daß der Fahrzeughersteller dafür verantwortlich gemacht wird oder das sogar gleich umbauen läßt Cool.

Heute wurde per eMail ein dringendes "Update auf FRITZ!OS 6.03" durch AVM angeboten.

Zitat: "Die in den letzten Tagen aufgetretenen Angriffe auf die FRITZ!Box wurden nachvollzogen. Die Täter haben über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen. Dabei konnten auch Passwörter entwendet werden." Klar, wer als Admin in der Box drin ist, kann auch alles auslesen. Wen wundert das aber?

Nichts jedoch schreibt AVM über tatsächliche Ursachen? und deren zukünftige Vermeidung. Lapidar heißt es:

"Neue Features:  - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter www.avm.de/sicherheit
- ab FRITZ!OS 6.01:
- WLAN-Gastzugang neu als "Privater Hotspot"
- Live TV mit Tablet, Notebook und Smartphone ansehen
- Kindersicherung mit einem gemeinsamen Budget für mehrere Geräte
- Einfacher, übersichtlicher, informativer - erweiterte Push Services informieren automatisch per E-Mail
- MyFRITZ!-Zugang zu Sprachnachrichten, Smart Home und FRITZ!NAS für mobile Geräte erneuert
- Smart Home jetzt noch komfortabler und mit mehr Informationen
- FRITZ!Fon mit Mediaplayer und vieles mehr
- Neues für Telefonie: Unterstützung für Gegensprechanlagen und SIP-Anlagenanschluss
- Mediaserver erweitert um neue Cloud Services
- Diagnosefunktion überprüft DSL, Internet und Heimnetz
- Vereinfachte Einrichtung von VPN, optimiert für iOS-Tablets und -Smartphones".

Liest sich super, hat nur mit dem "Unberechtigten" Zugang wirklich nicht viel zu tun.

Überlegt doch mal: Wer über alle Zugangsdaten verfügt, egal auf welchem Weg er sie beschafft hat, ob als Admin, als Geheimdienstspitzel oder simpler Hacker, wird doch technisch automatisch zum "Berechtigten".

Entweder war alles ein Fake oder aber AVM muß noch "liefern"!

bei Antwort benachrichtigen
Moin angelpage, ich glaube nicht, dass das ein Fake war/ist. ... Oliver55
Die neue Version ist aber die FRITZ!OS 6.03 113.06.03 . Proldi
Immer langsam lesen - ich hatte das getan, weil ich ja die ... angelpage
Hm.... Ich vermute eher, das AVM eine grundlegende ... ABatC
Oder einfach nur vorgetäuscht. Beim 5.50 OS war keine BPJM ... torsten40
Die BPJM-Sperrliste ist kein Geheimnis. Ist Bestandteil der ... ABatC
Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ... Tom West
Tse,tse, da hat wieder irgendwas mit meinem Cache nicht ... Tom West
Da muss ich wohl 1 1 mal etwas in Schutz nehmen. Solche ... gelöscht_238890
Jau. Ob 1 1 ein Update für meine uralte 7270v2 anbietet, ... gelöscht_305164
1 1 verwendet keine Zwangsrouter. An dem Anschluss läuft ... ABatC
angelpage Tom West „Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ...“
Optionen

@Tom West: Mir geht es "nur" um zwei Dinge, nicht um Philosophien:

1. Eine ehrliche, fachlich nachvollziehbare Ursache (schließlich gehts nur um Einsen und Nullen, da kann man nicht herumeiern) und

2. Was leistet das Update dazu.

Zum ersten gibts bereits Gerüchte, dass der Zugang aus dem Internet über geöffneten Port völlig ohne Passwörter möglich war. Das habe ich nicht selbst geprüft, da ich immer Passwörter verwendet habe. Dann sollte AVM das öffentlich sagen: Firmwarefehler, dieser Zugang wurde so geschlossen, wie es das Handbuch schon immer verspricht.

Zum zweiten wird ein gewaltiges Update (siehen das Zitat oben) empfohlen, das offensichtlich sowieso bereit lag. Was aber ist die Lösung für das Sicherheitsproblem?

Gestern war früh der Server überlastet, meine Box blieb einfach beim Download des Updates hängen und mußte manuell gestartet werden. Für VoIP- Telefone nicht günstig.

Obwohl das Update dann incl. Download vormittags erfolgreich? eingespielt wurde (ohne zu wissen, was das Teil tut!), kam gestern abend eine weitere Mail mit der Aufforderung zum Update.

Mann, und genau das passt wiederum zur Überschrift in diesem Thread. Und als Nutzer darf ich da nicht begeistert sein!

bei Antwort benachrichtigen
Also ehrlich, langsam wird es bei dir etwas albern... Das ... ABatC
@ABatC: Es gibt bei Sicherheit keine Albernheit. Unter ... angelpage
Du solltest die Updateliste mal korrekt lesen: Im aktuellen ... ABatC