Wichtiger Sicherheitshinweis für FRITZ!Box-Nutzer mit aktiviertem Fernzugriff
von caschy | 15 Kommentare
Vor ein paar Tagen wurde bekannt, dass Nutzer horrende Kosten auf ihrer Telefonrechnung verbuchen mussten, da Angreifer IP-Telefone auf der Box anlegten und teure Telefonate, unter anderem nach Afrika, führten. AVM informierte auf einer Sicherheitsseite über diesen Umstand, konnte aber nicht erklären, wie Angreifer in die Lage kamen, sich mit Benutzernamen und Passwort auf die FRITZ!Boxen von Kunden einzuloggen. Möglicherweise besteht ein Zusammenhang zu dem kürzlich vom BSI veröffentlichten Diebstahl von 16 Millionen digitalen Identitäten, so die Vermutung seitens AVM. Wie die Täter an die Zugangsdaten kamen, wird aktuell untersucht. AVM arbeitet in enger Abstimmung mit den Ermittlungsbehörden an der Aufklärung der Fälle.
Der Angriff betrifft nur die Anwender, welche den Fernzugriff aus dem Internet auf ihre FRITZ!Box freigeschaltet haben, beispielsweise über den MyFRITZ!-Dienst. Standardmäßig sind diese Funktionen abgeschaltet. Als vorübergehende Sicherheitsmaßnahme empfiehlt AVM allen FRITZ!Box-Anwendern, die den Internetzugriff auf die FRITZ!Box über HTTPS (Port 443) aktiviert haben, diesen abzuschalten.
Eine entsprechende Anleitung – auch zu weiteren Diensten innerhalb der FRITZ!Box – ist auf den AVM-Sicherheitsseiten veröffentlicht worden. Nach der Deaktivierung des Internetzugriffs über HTTPS (Port 443) sind FRITZ!Box-Dienste wie MyFRITZ! und FRITZ!NAS sowie die Benutzeroberfläche fritz.box von unterwegs nicht mehr erreichbar. Von zu Hause sind wie gewohnt alle Internet- und Heimnetzanwendungen sicher einsetzbar.
Wird geladen ...
Ein meiner Meinung nach wichtiger, hilfreicher Hinweis fehlt in der FAQ von AVM.
Die dort genannten Punkte (Einstellungen) sind nur erreichbar wenn man sich in der Expertenansicht befindet.
In der Ansicht „Standard“ ist der Menüpunkt den man auswählen soll gar nicht sichtbar und trotzdem können die Funktionen aktiv sein!
@Thomas: aber zum aktivieren muss ja irgendjemand mal die Expertenansicht eingestellt haben:-)
@Thomas: Wenn man in der Standardansicht ist, konnte man den Zugriff übers Internet auch gar nicht aktivieren, also muss man auch gar nichts tun…
Auf diese Idee bin ich auch gekommen, fragte mich auch, ob es hilft, bei DynDNS den Port zu ändern, wenn MyFritz bereits abgeschaltet wurde.
Wie ist da eure Einschätzung?
@Malte:
Bei Dyndns den Port ändern? Dyndns ist doch nur ein Service, der deiner dynamischen IP einen festen Hostname gibt. Mit Ports hat das nix zu tun.
Wenn du meinst, in der FritzBox den Port für die Erreichbarkeit per https zu ändern, dann bringt das ein kleines Plus an Sicherheit, da bei Scans auf Port 443 nicht geantwortet wird. Wirklich sicher macht es den Zugang aber nicht (Ich weiß auch gar nicht ob das überhaupt geht).
Gefühlt ist doch hier noch irgendetwas anderes im Busch, wenn AVM empfiehlt, den Service abzuschalten anstatt sich einfach mal ein sicheres Passwort, das man nicht auch sonst noch überall eingibt zu überlegen.
Ich bevorzuge, wie im andren THread auch schon beschrieben, den Zugang zum Netz über ein VPN. Weniger convinient, dafür aber (wenn vernünftig konfiguriert) sicherer und bietet Zugriff aufs gesamte Netz (wenn man das will), nicht nur auf die Box.
Bei den Cable Boxen ala 6360 kann man keine weitere IP-Telefonie hinzufügen. Sicher oder auch nicht sicher?
Und was ist mit VPN Zugängen? Ich habe weder myFritz noch Fernzugang aktiviert, nur VPN.
@björn: Das stimmt nicht ganz. KDG oder Unity media haben sich das in der 6360 durch den Hersteller AVM in der Firmware wegadministrieren lassen. Doch auch in der Kabel-Fritz.box 6360 können SIP-Slients konfiguriert werden. Die dazu nötigen Menüs sind nur „ausgeblendet“, was sich in der Konfiguration mit Browser-Tools wie Firebug leicht umgehen lässt.
@Björn auch bei der 6360 kann man IP-Telefonie hinzufügen, sonst würde Kabel die gar nicht alleine anbieten können (ohne Telefonie). Insgesamt sind es 10.
Also wer Fernzugriff auf PC/Routern zuläßt, sollte wissen das er hier ein Risiko eingeht.
Myfritz und Fernzugriff kann ich bei mir extra einstellen. Myfritz kann man aktiv lassen ohne das einer Fernzugriff hat
Sehe ich auch wie Peer. Wenn AVM allen Anwendern empfiehlt, den Dienst abzuschalten, dann ist da mehr im Busch. Ansonsten hätte ja auch ein neues, sicheres Passwort gereicht.
Jetzt kommen wieder die Verschwörungstheorien.
Avm verschickt aktuell zu diesem Thema Mails mit der Warnung an alle Kunden, die bei MyFritz! ihre Mailadresse hinterlegt haben! Screenshot: https://db.tt/CReaqpz2
Ja, ist bei mir auch schon angekommen. Die Informationspolitik von AVM ist schon gut. Das haben andere Anbieter schon schlechter gehandelt.
Habe die Email gerade auch bekommen. Noch erwähnen möchte ich, dass man das Passwort zu einer Email-Adresse im Push-Service der Fritz!Box vorsorglich auch ändern sollte.
Reicht das dann die Mail und das Passwort zu ändern?