Nickles › Forum › Internet › Heimnetzwerke - WIFI, LAN, Router und Co

Heimnetzwerke - WIFI, LAN, Router und Co 16.470 Themen, 80.517 Beiträge

Aktuelles FRITZ!Box- Update kritisch betrachtet

angelpage am 10.02.2014, 08:55 / 15 Antworten / Flachansicht

Auch in Nickles spielt ja der "Angriff" auf die FRITZ!Box eine herausragende Rolle und löste fast immer unberechtigt Panik aus.

Jeder, der wenigstens einmal in die Bedienungsanleitung geschaut hat, kann die Methoden, Dienste und Verfahrensweisen für die Fernsteuerung und den Fernzugang herauslesen (oder eben auch bewußt einstellen).

Vereinfacht aber: Der Zugang dazu aus dem Internet muß ausdrücklich freigegeben sein (Portfreigabe 443), zusätzlich benötigt man die aktuelle öffentliche IPv4- Adresse, ein bis mehrere gültige Passwörter und genau die bei der Einrichtung von MyFRITZ verwendete eMail- Adresse, um Zugang auf die FRITZ!Box und ihre Dienste/ Features zu erhalten. Ein Zugang ohne diese Angaben war bisher auch nicht möglich. Super!

Bisher kursierten aber Gerüchte, und auch AVM sieht in seiner bisherigen Argumentation immer noch recht hilflos aus.

Natürlich kann der Zugang aus zwei Gründen erlaubt sein:

Der FRITZ!Box- Nutzer braucht das so, weil er die FRITZ!Box und ihre Dienste aus der Ferne managen will (als berechtigter Administrator über große Entfernungen),

oder aber

weil ein Laie ohne Mindestkenntnisse in der Box die "Expertenansicht" aktiviert und zusätzlich -entgegen dem Handbuch- unqualifiziert verstellt hat.Das kann allerdings auch beim Auto (Bremse/Gas verwechselt) passieren, ohne daß der Fahrzeughersteller dafür verantwortlich gemacht wird oder das sogar gleich umbauen läßt .

Heute wurde per eMail ein dringendes "Update auf FRITZ!OS 6.03" durch AVM angeboten.

Zitat: "Die in den letzten Tagen aufgetretenen Angriffe auf die FRITZ!Box wurden nachvollzogen. Die Täter haben über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen. Dabei konnten auch Passwörter entwendet werden." Klar, wer als Admin in der Box drin ist, kann auch alles auslesen. Wen wundert das aber?

Nichts jedoch schreibt AVM über tatsächliche Ursachen? und deren zukünftige Vermeidung. Lapidar heißt es:

"Neue Features: - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter www.avm.de/sicherheit
- ab FRITZ!OS 6.01:
- WLAN-Gastzugang neu als "Privater Hotspot"
- Live TV mit Tablet, Notebook und Smartphone ansehen
- Kindersicherung mit einem gemeinsamen Budget für mehrere Geräte
- Einfacher, übersichtlicher, informativer - erweiterte Push Services informieren automatisch per E-Mail
- MyFRITZ!-Zugang zu Sprachnachrichten, Smart Home und FRITZ!NAS für mobile Geräte erneuert
- Smart Home jetzt noch komfortabler und mit mehr Informationen
- FRITZ!Fon mit Mediaplayer und vieles mehr
- Neues für Telefonie: Unterstützung für Gegensprechanlagen und SIP-Anlagenanschluss
- Mediaserver erweitert um neue Cloud Services
- Diagnosefunktion überprüft DSL, Internet und Heimnetz
- Vereinfachte Einrichtung von VPN, optimiert für iOS-Tablets und -Smartphones".

Liest sich super, hat nur mit dem "Unberechtigten" Zugang wirklich nicht viel zu tun.

Überlegt doch mal: Wer über alle Zugangsdaten verfügt, egal auf welchem Weg er sie beschafft hat, ob als Admin, als Geheimdienstspitzel oder simpler Hacker, wird doch technisch automatisch zum "Berechtigten".

Entweder war alles ein Fake oder aber AVM muß noch "liefern"!

      Moin angelpage, ich glaube nicht, dass das ein Fake war/ist. ... Oliver55 10.02.2014, 09:53
    
      Die neue Version ist aber die FRITZ!OS 6.03 113.06.03 . Proldi 10.02.2014, 11:13
    
      Immer langsam lesen - ich hatte das getan, weil ich ja die ... angelpage 10.02.2014, 15:19
    
      Hm.... Ich vermute eher, das AVM eine grundlegende ... ABatC 10.02.2014, 16:23
    
      Oder einfach nur vorgetäuscht. Beim 5.50 OS war keine BPJM ... torsten40 11.02.2014, 14:04
    
      Die BPJM-Sperrliste ist kein Geheimnis. Ist Bestandteil der ... ABatC 11.02.2014, 14:38
    
      Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ... Tom West 10.02.2014, 18:42
    
      Tse,tse, da hat wieder irgendwas mit meinem Cache nicht ... Tom West 10.02.2014, 19:25
    
      Da muss ich wohl 1 1 mal etwas in Schutz nehmen. Solche ... gelöscht_238890 10.02.2014, 19:38
    
      Jau. Ob 1 1 ein Update für meine uralte 7270v2 anbietet, ... gelöscht_305164 10.02.2014, 21:23
    
      1 1 verwendet keine Zwangsrouter. An dem Anschluss läuft ... ABatC 10.02.2014, 20:09
    
      @Tom West: Mir geht es nur um zwei Dinge, nicht um ... angelpage 11.02.2014, 07:00
    
        ABatC angelpage „@Tom West: Mir geht es nur um zwei Dinge, nicht um ...“
      
        11.02.2014, 13:56 Optionen
      
          Also ehrlich, langsam wird es bei dir etwas albern...
        
          Zum ersten gibts bereits Gerüchte, dass der Zugang aus dem Internet über geöffneten Port völlig ohne Passwörter möglich war
        
          Das ist soweit kein Gerücht. Wenn man eine Box im Netz gefunden hat mit aktiviertem Fernzugang konnte man ohne die Passwörter zu kennen Zugriff auf die Box bekommen. Mit einem offenen Port allein kommt man da aber nicht weit, die Box muss auch auf dem Port reagieren (was sie nur tut bei aktiviertem Fernzugriff).
        
          Dann sollte AVM das öffentlich sagen: Firmwarefehler, dieser Zugang wurde so geschlossen, wie es das Handbuch schon immer verspricht.
        
          Sagt AVM doch eindeutig in den Infos zum Update: Sicherheitslücke geschlossen. AVM hat ebenfalls angekündigt die Sicherheitslücke genauer zu beschreiben sobald die Updates entsprechende Verbreitung gefunden haben und man kein Risiko mehr eingeht (auch sehr vernünftig!!).
        
          Zum zweiten wird ein gewaltiges Update (siehen das Zitat oben) empfohlen, das offensichtlich sowieso bereit lag. Was aber ist die Lösung für das Sicherheitsproblem?
        
          Wieso gewaltig? Es wird immer ein Image der kompletten Firmware geschrieben, selbst wenn sich nur ein paar Zeilen Code geändert haben sollten. Und wieso bereit lag? AVM hat erst tagelang überhaupt die Ursache gesucht und dann übers Wochenende Box für Box die Updates rausgegeben.
        
          Gestern war früh der Server überlastet, meine Box blieb einfach beim Download des Updates hängen und mußte manuell gestartet werden. Für VoIP- Telefone nicht günstig
        
          In der Tat war gestern AVM etwas überlastet. Irgendwie aber auch verständlich wenn Tausende von Nutzern ein Update ziehen...
        
          Obwohl das Update dann incl. Download vormittags erfolgreich? eingespielt wurde (ohne zu wissen, was das Teil tut!), kam gestern abend eine weitere Mail mit der Aufforderung zum Update.
        
          Kam die Mail von der Box oder über den AVM-Newsletter? AVM hat gestern einen Newsletter verschickt und alle Abonenten noch einmal auf das Update hingewiesen. Können die ja nicht wissen das du so schnell warst :-)
        
          nd als Nutzer darf ich da nicht begeistert sein!
        
          Hm...ich bin eigentlich von AVM ziemlich begeistert. Ein bisher unbekanntes Sicherheitsproblem wird an den Hersteller gemeldet, der geht damit offensiv um und warnt sofort alle Kunden (inkl. temporären Sicherheitsmassnahmen bis ein Update verfügbar ist), findet doch recht flott den Fehler und bringt ebenfalls in Rekordzeit für über 30 unterschiedliche Routermodelle (und übers Wochenende!) die Firmwareupdates raus. Dazu noch für alte Modelle, deren Support bereits seit Jahren eigentlich eingestellt ist. Welcher Hersteller macht so was bitte heutzutage???
        
             bei Antwort benachrichtigen
        
      @ABatC: Es gibt bei Sicherheit keine Albernheit. Unter ... angelpage 11.02.2014, 16:13
    
      Du solltest die Updateliste mal korrekt lesen: Im aktuellen ... ABatC 11.02.2014, 16:28



	dauerhaft angemeldet bleiben
Jetzt Nickles Mitglied werden