AVM warnt vor mutmaßlichem Telefonmissbrauch, gekaperte FRITZ!Boxen verursachen immense Kosten

3. Februar 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

FRITZ!Box-Nutzer aufgepasst! AVM warnt derzeit auf der eigenen Homepage vor mutmaßlichem Telefonmissbrauch. Eine FRITZ!Box dürften wohl viele von uns zu Hause zu haben und da denke ich, dass man die Warnung schon ernster nehmen sollte. AVM hat nach eigener Aussage Hinweise auf eine möglicherweise missbräuchliche Telefonnutzung über die FRITZ!Box erhalten. Die Fälle werden aktuell von AVM untersucht, bekannt sind aktuell einige Dutzend.

AVM FRITZ!DECT 200

AVM teilt mit: In den Fällen wurde anscheinend von außen auf den Router zugegriffen und ein kostenpflichtiger Telefon-Mehrwertdienst eingerichtet. Der Angriff ist nur dann möglich, wenn der Angreifer über die genaue Kombination aus Mailadresse oder FRITZ!Box-Benutzername, IP-Adresse der FRITZ!Box und Kennwörtern für Fernzugang und FRITZ!Box-Oberfläche verfügt. Möglicherweise besteht ein Zusammenhang zu dem kürzlich vom BSI veröffentlichten Diebstahl von 16 Millionen digitalen Identitäten.

In diversen Foren (zum Beispiel Unitymedia) teilen Nutzer mit, dass sie betroffen sind. Hier wurde ein IP-Telefon in der Box von extern eingerichtet und anschließend teure Telefonate geführt. Kosten: mehrere Hundert Euro und mehr.

Ein Zugriff von außen ist laut AVM nur dann möglich, wenn der HTTPS-Fernzugriff (Port 443) oder der MYFRITZ!-Dienst im Router aktiviert wurde. Dazu muss der Angreifer die Mailadresse und das Passwort kennen. Sind diese nicht bekannt oder wurde der Zugriff von außen nicht aktiviert, erfolgte bisher kein Zugriff auf die FRITZ!Box.

Sind HTTPS-Fernzugriff (Port 443) oder MyFRITZ!-Dienst aktiviert, empfiehlt man seitens AVM, die Passwörter zu ändern. Ebenfalls sollten alle im Einsatz befindlichen Rechner auf Schadsoftware, z.B. Trojaner, überprüft werden. Sollten in der Telefonkonfiguration ungewöhnliche Rufumleitungen festgestellt werden, sind diese sofort zu entfernen.

Eine Anleitung hat AVM auch veröffentlicht.



Quelle: Danke Robert! |
Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22138 Artikel geschrieben.

22 Kommentare

HerrTaschenbier 3. Februar 2014 um 21:53 Uhr

Tjo, so etwas kann halt nicht nur bei China-Boxen passieren. Der Unterschied ist aber die Reaktion seitens AVM. Bisher scheinen sie ja ganz gut zu reagieren, hoffentlich schaffen die AVM-Leute dieses Problem möglichst zügig und offensiv zu lösen.

Bubi Bazemann 3. Februar 2014 um 22:02 Uhr

HA-HA!

Claas Schaefer 3. Februar 2014 um 22:04 Uhr

Klasse Reaktion von AVM…. anderen würden es totschweigen. Like+1 🙂

caschy 3. Februar 2014 um 22:05 Uhr

das Problem liegt nicht bei AVM, sondern an der Verbreitung und den unachtsamen Nutzern 🙂

Just Me 3. Februar 2014 um 22:09 Uhr

„Tjo, so etwas kann halt nicht nur bei China-Boxen passieren.“
Aber ist das denn wirklich ein Fehler von AVM? Wenn ich Fernwartung zulasse und sich jemand mit meinen Daten bei meiner Fritzbox anmeldet ist das ja kein Fehler sondern so gewollt. Das Problem ist ja dann eher, dass jemand meine Zugangsdaten hat.

Edit: Da war der caschy schneller 😉

Jo 3. Februar 2014 um 22:11 Uhr

Naja, es scheint ja keine echte Sicherheitslücke in der Fritzbox zu sein. Der Angreifer muss wohl die Mailadresse und das Passwort kennen.

Die Frage ist, woher die Angreifer diese Daten haben. Von leichtsinnigen Usern, die auch bei anderen Diensten die gleiche Kombination aus Mailadresse und Passwort benutzen? Oder doch aus einer Datenbank von AVM mit MyFritz-Accounts? Gibt es dazu schon Hinweise?

caschy 3. Februar 2014 um 22:24 Uhr

@Jo: Steht ja drin, untersuchen die gerade. Die mitgeteilte Vermutung hat ja mit dem BSI-Ding zu tun, glaube mir nicht, dass die ein eigenes Leck vertuschen würden.

Peer 3. Februar 2014 um 22:26 Uhr

Hoffentlich überdenken jetzt doch noch einige die Entscheidung, ein nur durch eine (meist zu schwache) Kombination aus User und PW geschütztes Interface auf dem Standard https Port laufen zu lassen. Der Ratschlag von AVM, Auslandsrufnummern zu deaktivieren ist auch lustig, wenn hier offensichtlich voller Zugriff aufs Interface erlangt wurde. Lässt sich über den Fernzugriff auch eine neue (manipulierte) Firmware einspielen?
AVM hat doch vor kurzem deutliche Vereinfachungen fürs Einrichten eines VPN eingeführt. In Kombination mit einem hinreichend komplexen Shared Secret und einem vernünftigen Passwort dürfte das zumindest ein Schritt in Richtung mehr Sicherheit sein. Zugegeben natürlich etwas unkomfortabler…

Jo 3. Februar 2014 um 22:43 Uhr

AVM sollte jetzt dringend eine Zwei-Faktor-Authentifizierung einführen. Dann passiert so was nicht.

http://de.m.wikipedia.org/wiki.....ifizierung

Klaus 3. Februar 2014 um 23:04 Uhr

kann man glauben oder nicht. wäre ja nicht der erste Router bei dem man die Passwort Funktion umgehen kann oder eben direkt von extern durch Lücken auslesen kann.

Just Me 3. Februar 2014 um 23:25 Uhr

Wobei der Fernzugriff über das Internet standardmäßig deaktiviert ist. Man muss also schon bewusst den Zugriff aktivieren.

Matze.B 4. Februar 2014 um 00:10 Uhr

Wer Fernzugriff aktiviert sollte eigentlich nicht überall das selbe Passwort nutzen – kann ich mir auch schlecht vorstellen da ja Fritz auch standardmäßig sichere PW vorkonfiguriert. Also müsste dann schon was auf dem Rechner sein was ‚mithört‘. Oder aber auch einige Fritz-Modelle haben Backdors … 🙂 Wo bei sich leider Sicherheitslücken dadurch auszeichnen dass sie eben welche sind – d.h. sie sind nur wenigen Leuten bekannt.

Herr Hauser 4. Februar 2014 um 00:18 Uhr

Den AVM-Hatern passt sowas natürlich bestens in den Kram.

Sean K. Woods 4. Februar 2014 um 00:19 Uhr

ohne Festnetzanschluss (nur mit internetflat) dürfte nix passieren oder 😉

hein 4. Februar 2014 um 01:15 Uhr

AVM GmbH
Hauptsitz Berlin
Alt-Moabit 95
10559 Berlin

Bundesministerium des Innern – Referat SKIR (Strategische Kommunikation, Internet, Reden)
Alt-Moabit 101 D
10559 Berlin

caschy 4. Februar 2014 um 08:10 Uhr

@Matze.B: dazu hatte man sich schon geäußert.

DeDe 4. Februar 2014 um 09:47 Uhr

Da gibt es auch direkt ein Hotel mit Spreeblick. Glaube das hieß/heißt Abion Hotel. Da kann also der aus China direkt per „Fernwartung“ in die Firmenzentrale einhäkken!

Michael 4. Februar 2014 um 09:50 Uhr

Kann mir nicht vorstellen, dass es an AVM liegt. Eher am Mensch 🙂 Wenn Herr Mustermann das gleiche Passwort (am besten noch 123456) für alle seine Dienste benutzt, womöglich noch das selbe Passwort für die Box nimmt, dann noch ein paar Daten per Trojaner entfleuchen…tja…dann kommt so was dabei raus.

DIrk 4. Februar 2014 um 09:51 Uhr

Wer Fernzugriff auf Routern oder sonstiges erlaubt sollte sowas nur bei Bedarf anhaben oder als Email eine andere nutzen und regelmäßig das Passwort ändern, je schwerer desto besser. Am besten Fernzugriff erst gar nicht erlauben.

NoOne 4. Februar 2014 um 13:57 Uhr

Ich vermute gerade, dass AVM’s „MyFritz“ Portal gehackt wurde. Wie sonst sollen die Leute an die ganzen Passwörter für die Box gekommen sein.

Tom 4. Februar 2014 um 14:03 Uhr

Tja, das liegt dann wohl an den „one password 4 all“-Usern, die sich in diversen Foren mit immer der selben Email und Passwort registrieren. Und weil es ja so schön einfach zu merken ist, nimmt man das auch gleich für MyFritz!. Da reicht es dann natürlich einfach Emailadressen mit eroberten Passwort durchzuprobieren und voilà, man ist auf der FritzBox des unachtsamen Users. Und schon kann ich alles nutzen.

MyFritz ist von AVM ein gut gemeinter Dienst, der aber eben nicht für jeden Benutzer geeignet ist! Wer unachtsam immer die gleiche Mail und Passwort-Kombi nutzt, sollte von so einem Dienst die Finger lassen. Aber eventuell ist es für AVM ja anlass genug, die Art der Authentifizierung für den Dienst zu ändern. 2-Wege-Authentifizierung wäre eine Möglichkeit.

enno 5. Februar 2014 um 11:33 Uhr

@ Tom: Ich kann dir versichern, dass es daran nicht liegt!

Bin selbst in der IT tätig und deshalb sehr vorsichtig mit meinen Accounts, trotzdem aber leider ein Betroffener: Auf meiner FB wurde ein IP-Telefon eingerichtet und damit ca. 6 Stunden nach Afrika telefoniert!

Mir scheints doch ein Problem seitens AVM zu sein. Interessant wird noch wie es sich mit der Übernahme des entstandenen Schadens ausgeht.




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.