FRITZ!Box: Lücke verrät Geräte im Netzwerk

Eine Sicherheitslücke in der Firmware der FRITZ!OS-Software ermöglicht es Angreifern ggf. per Internet die im Netzwerk vorhandenen Gerätedaten abzufragen.


Anzeige

Entdeckt wurde diese Sicherheitslücke von Birk Blechschmidt, der AVM bereits Mitte März 2017 informierte. Per JavaScript lässt sich über den IPv6-Internetzugang auf die Konfigurationsdaten der FRITZ!Box zugreifen. So lassen sich die Hostnamen, die IP- und Mac-Adresse sowie die Zahl der Geräte an der Box abrufen.

Wird eine FRITZ!App an der FRITZ!Box betrieben und ist diese angemeldet, lassen sich ggf. auch E-Mail-Adressen aus den Kontakten der App auslesen. Das Ganze ist über einen DNS-Rebinding-Angriff möglich. Der Zugriff auf Konfigurationsfunktionen von FRITZ!OS ist aber nicht möglich, da diese kennwortgeschützt sind. 

Laut Blechschmidt, der diesbezüglich heise.de kontaktiert, die hier einen Artikel veröffentlicht haben. AVM stuft die Sicherheitslücke in der “untersten Kategorie” ein und will in den kommenden FRITZ!OS-Versionen einen Fix bringen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit FRITZ!Box, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu FRITZ!Box: Lücke verrät Geräte im Netzwerk

  1. deo sagt:

    Man muss sich nicht darüber wundern, dass die Fritzboxen immer löchriger werden, bei der Masse an Diensten, die darüber laufen und es kommen immer mehr dazu.
    Die Philosophie, die dahintersteht ist die, das die Box im Laufe der Zeit immer weiter per Firmware ausgebaut wird, so dass sie den Mehrpreis rechtfertigt.
    Mittlerweile wird das Aufrüsten aber gefährlich – das war es schon immer, wenn mehr als die Grundfunktion eines Routers geboten wird – und wird immer schwieriger beherrschbar.
    Wieso sollte man sich noch eine solche Wollmilchsau anschaffen, wenn man einen Großteil der Funktionen deaktivieren muss, um damit sicher unterwegs zu sein?
    AVM könnte sich Luft verschaffen, wenn sie auch Firmwares bringen, die nur Sicherheitslücken beseitigen und keine neue Funktionen im Gepäck haben, die wieder neue Lücken aufreißen. Dann könnte man auswählen, wenn einem der aktuelle Funktionsumfang reicht und der reicht den meisten. Wer mehr will, muss dann auch die Sicherheit stärker bedenken.
    Ich bin jetzt seit gut 7 Jahren mit einem gefritzten Speedport W900V (Firmware-Version 29.04.88 von 7170, DECT von 7150) unterwegs, der kein IPv6 kann. Solange mir kein Annex J aufs Auge gedrückt wird, ändere ich da auch nichts.

  2. Rene sagt:

    Ich finde es viel interessanter, was der aktuelle Firefox 54 so alles ausplaudert.
    Einfach mal unter https://www.dein-ip-check.de/ schauen. Ich habe mir darauf hin NoScript installiert.
    Ich finde es z.B. sehr fragwürdig, warum der FF meine Intranet IP Adresse, alle Plugins, alle Schriftarten u.s.w. hinaus posaunen muss.

    • woodpeaker sagt:

      Bin da noch einen Schritt weiter gegangen.
      Ich gaukle diesen neugierigen Seiten ein komplett anderes BS vor und meinen FF gibt es noch gar nicht – von der Versionsnummer. :-)
      Was die können – kann ich schon lange. ;-)

    • bodenbewuchs sagt:

      Das aber jetzt nichts neues, das jeder Seitenaufruf jede Menge Infos transportiert. Ob die auch abgegriffen werden, steht auf nem anderen Blatt. Meist wohl ja.
      Das meiste wird via Js „verraten“, daher Javscript, so oft es geht, auf aus.
      Und wenn man whoer.net oder den Anon-Test von JonDoNym probiert (http://ip-check.info/?lang=de), erfährt man noch ganz andere Dinge…
      ;)

      • Rene sagt:

        @bodenbewuchs.

        Interessant was da noch alles gesaugt wird.

        Man könnte also zusammenfassen, das man/Frau keine Dummheiten im Web machen sollten, weil man unzählige Spuren hinterlässt.
        Ich habe meinen FF so eingestellt, das er alles löscht, wenn ich ihn schließe. Also wird bei jedem Neustart das Katz und Mausspiel von vorne begonnen.

        Ich finde es nur schade und traurig, das der normale User voll überwachbar ist, und der potenzielle Straftäter weiß, wie er sich verstecken kann.

        • Ralf Lindemann sagt:

          @Rene
          Das Löschen der Sitzungsdaten beim Schließen des Browsers hilft leider nur bedingt weiter. Sagt dir der Begriff Canvas Fingerprinting etwas? „Canvas Fingerprinting ist ein Sammelbegriff für eine Reihe von Nutzerverfolgungs-Techniken, um Online-Benutzer ohne Verwendung von Cookies eindeutig zu identifizieren. Sobald die Identifizierung möglich ist, kann beispielsweise das Internetnutzungsverhalten beobachtet und analysiert werden. Canvas Fingerprinting kann mit Standardeinstellungen des Browsers nur schwer verhindert werden (Stand: Juli 2014) und wird als nichtlöschbarer Cookie-Nachfolger betrachtet.“ (Quelle:

          Für FF gibt es u.a. das Add-on „CanvasBlocker“, das Abhilfe verspricht. Ob es wirklich hilft, sei mal dahingestellt. NoScript allein genügt meines Wissens nicht, Canvas Fingerprinting zu unterbinden.

          • Nobody sagt:

            Dem Tracking kann man sich nicht entziehen. Bitte mal hier schauen, was alles übermittelt wird. Es sind hunderte von Daten. Bestenfalls kann man versuchen, seine wahre Herkunft zu verschleiern. Das funktionierte aber auch nur mittels Tor oder VPN.

          • chapeau sagt:

            Aber auch hier gilt: ist abhängig von Js (Javascript), wobei ein blocken von Js Komforteinbuße bedeutet.

            weiteres interessantes dazu:
            https://www.privacy-handbuch.de/handbuch_21t.htm
            https://www.heise.de/ct/ausgabe/2014-18-Browserprofile-mit-Canvas-Fingerprinting-2283693.html

          • Ralf Lindemann sagt:

            Vielen Dank für die weiterführenden Links!

            Klar, das Blocken von Javascript geht mit Komforteinbußen einher. Generell kann man wahrscheinlich sagen: Je höher der technische Aufwand, um sich vor Aktivitätsverfolgung zu schützen (VPN, Tor, Tails etc.), desto unbequemer wird das digitale Leben im Internet. Und ob man all das, was technisch möglich ist, auch (permanent) einsetzen will, ist noch eine ganz andere Frage, die jeder Nutzer für sich selbst entscheiden muss. Wie Homer Simpson mal so schön über sich sagte: „Tut mir leid, mich zu beobachten ist bestimmt genauso langweilig wie ich zu sein.“ Manchmal kann es weiterhelfen, sich selbst nicht ganz so wichtig zu nehmen … ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.