AVM FRITZ!Box: Externes Script soll Auslesen von Netzwerkinformationen erlauben

Die Firmware von zumindest einer AVM FRITZ!Box wird sicherlich bald aktualisiert. Heise Security berichtet derzeit davon, dass man unter Umständen einiges an Informationen aus der Box quetschen kann. Ein Angreifer kann nicht nur den Hostnamen der FRITZ!Box erfahren, sondern man erfährt auch IP- und MAC-Adressen der an der Box angemeldeten Geräte.Ebenfalls soll es möglich sein, die Modellbezeichnung und die genaue ID der Box herauszufinden.

Heise schreibt, dass „anscheinend“ auch Mail-Adressen abgefischt werden könnten, wenn denn die FRITZ!-App an der Box angemeldet ist. Das Auslesen wäre über eine speziell präparierte Webseite möglich, hier könnte eine JavaScript für die Herausgabe der Daten genutzt werden. Angesprochen wird hier die Konfigurationsschnittstelle der FRITZ!Box, allerdings sind die weiterführenden Möglichkeiten durch ein Passwort geschützt.

Der Finder der Lücke hat nach eigener Aussage AVM informiert, doch diese hätten sich innerhalb einer 90-Tage-Frist nicht gemeldet, sodass er seine Informationen veröffentlichte. Ein Prrof-of-Concept liegt Heise vor, getestet habe man die Möglichkeiten mit der neuen AVM FRITZ!Box 7590 mit der FRITZ!OS-Version 6.85. AVM teilte indes mit, dass der genannte Punkt bekannt sei und mit einem kommendem Update behoben sei. Der Hersteller stuft die ausgehende Gefahr in der untersten Kategorie ein.

Welche Modelle betroffen sind, wollte man nicht kommunizieren. Heise gibt mit auf den Weg, dass man unter „Heimnetz/Netzwerkeinstellungen/IPv6″ temporär deaktivieren könne.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

17 Kommentare

  1. Na toll, Boxen den Provider erhalten ja generell keine Updates.

  2. Bei Vodafone/KD habe ich schon häufiger Updates erhalten, sei es damals für die 6360 oder aktuell für die 6490 mit der 6.65 (wohl wissend, dass es nicht die aktuellste Version ist).

    Dauert halt nur etwas – insbesondere dann, wenn es keinen Anlass gibt oder es sich um eine „Gefahr in der untersten Kategorie“ handelt. Aber als vor zwei Jahren oder so eine etwas größere Sicherheitslücke bei den Fritz!Boxen vorlag, hat Kabel Deutschland damals schnell reagiert, sodass innerhalb weniger Tage damals von 5.5 auf 6.0 oder so aktualisiert wurde. Damals war ich schon fast dankbar für die Lücke.

  3. Bei meiner FB ist nur Zugriff aus dem Heimnetzwerk erlaubt. Fertig!

  4. @SteeBee es geht ja teilweise nicht nur um Sicherheit, sondern auch um einfachere bux-fixes bspw. wie bei der 6490 + switch – hier sitze ich immer noch auf einer UM (lgi) 6.50
    Der Laden ist die reinste Zumutung – leider gibt es keine Alternative, sonst wäre ich schon lange weg.

  5. „Welche Modelle betroffen sind, wollte man nicht kommunizieren.“
    Nicht sehr vertrauensfördernd.

  6. Es ist schon peinlich was AVM sich dort leistet. Wenn Sie von aktuellen Lücken (siehe Samba) nicht betroffen sind wird direkt großes auf der Homepage veröffentlicht. Jetzt hatten Sie 90 Tage zeit und haben es nicht hinbekommen.

  7. Keine reaktion, ist selten meiat lautet doch die Antwort bei avm, werkseinstellungen.

    @mark schau dir unifi an. Sind zwar einzelkomponenten aber arbeiten gut zusammen (eine konfigoberfläche für alle geräte).
    Die fb ist derzeit nur noch Modem bis der kabel anschluss kommt.

    Hab die seit rund 3 Wochen im einsatz, Und läuft.

  8. Altermativ Asus RT-AC3200 z.b. auch gut zu konfigurieren.
    Was asus und unifi fehlt ist dect, voip kann man ja auch geräte nehmen die das direkt können

  9. @max:
    Und was genau hilft Dir das bei diesem Bug? Richtig! Gar nichts!

  10. Wie genau kann man jetzt IPv6 abschalten? Die Erläuterung von Heise ist echt dürftig… @Caschy: Wie machst Du das?

  11. Internet -> Zugangsdaten -> Reiter „IPv6“: Haken raus bei [ ] IPv6-Unterstützung aktiv

  12. IPv6 war bei meiner neuen 7490 standardmäßig deaktiviert.

  13. @skyteddy: ich finde diese option gar nicht. habe eine cable. läuft das dort anders? Außerdem stelle ich mir die Frage, warum ich die externe v6-Unterstützung abschalten soll, wobei heise.de von der internen v6-Unterstützung spricht.

  14. Wofür braucht man in einem Privathaushalt überhaupt IPv6?

  15. @Peter:
    Einige Kabel-Netzbetreiber benutzen ausschließlich IPv6 und manchmal dazu das DS-Light,
    damit die Fritzbox eine (private) IPv4-Adresse bekommt. Da kann man IPv6 nicht deaktivieren.

    @Tobi:
    Über Sinn und Unsinn von z.B. (WLAN-)MESH, IPv6, Fratzenbuch oder Twitter und ob „man“ es braucht, kann man lange hin und her diskutieren. Wirf die Suchmaschine Deines geringsten Misstrauens an und Du wirst viele Vor- und Nachteile zu all diesen Themen finden. Danach kannst Du für Dich entscheiden, ob Du eines der Dinge brauchst. Aber eine Verallgemeinerung deiner Entscheidung ist danach nicht möglich.

  16. IPv6 abschalten bei der 7490 mit OS 6.83 unter Internet/Zugangsdaten Karteireiter IPv6, also nicht wie hier und bei Heise beschrieben.

  17. @skyteddy: danke für die Info. Genauso ist es bei mir. Ist zwar meine eigene Box, aber Abhängigkeit gibt’s wohl immer…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.