Fritzbox-Sicherheitslücke: AVM stellt erste Updates bereit
Eine Ergänzung zu unserem Bericht über die Hacker-Angriffe auf Fritzbox-Router noch ein wichtiger Hinweis für alle Besitzer einer Fritzbox: Der Hersteller AVM konnte die Attacken laut eigenen Angaben inzwischen nachvollziehen und beginnt nun damit, fehlerbehebende Updates bereitzustellen. Offenbar sind alle Fritzbox-Modelle betroffen.
AVM will bereits über das Wochenende nach und nach Firmwareupdates für die einzelnen Fritzbox-Modelle ausliefern. Auf dieser Liste könnt ihr nachsehen, ob für euren Router schon neue Software verfügbar ist, eine Anleitung für die Durchführung der Updates findet ihr hier.
Bis für eure Box ein entsprechendes Firmwareupdate bereit steht, solltet ihr die von AVM ausgegebene Empfehlung befolgen, und den Internetzugriff
auf die Fritzbox über HTTPS (Port 443) schließen. Laut AVM gelang es den Tätern, über diese Verbindung in die Fritzbox einzudringen und so auch in den Besitz der benötigten Passwörter zu kommen. Dies zwingt natürlich zu der Mutmaßung, dass die Passwörter im System nicht verschlüsselt abgelegt waren.
HTTPS-Internetzugriff auf Fritzbox überprüfen und ggf. deaktivieren (AVM-Anleitung)
- Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf „Internet“ und wählen Sie das Menü „Freigaben“.
- Wählen Sie die Registerkarte „FRITZ!Box Dienste“.
- Überprüfen Sie, ob die Einstellung „Internetzugriff auf die FRITZ!Box über HTTPS“ aktiviert ist. Falls die Einstellung deaktiviert ist, brauchen Sie nichts weiter zu tun.
- Falls die Einstellung aktiviert ist, deaktivieren Sie diese und klicken Sie danach auf „Übernehmen“. Bitte beachten Sie in diesem Fall unbedingt auch den Abschnitt „Folgende Schritte bieten Sicherheit“.
Updates per FTP
Wer sich besser auskennt, kann auch direkt auf dem FTP-Server des Herstellers nachsehen, ob für seine Box bereits ein Update vorliegt. Teils stehen die Dateien hier schon früher zum Download bereit (aktuell beispielsweise die Firmware für das Modell 7490 – Danke Dennis).
hab es für meine seit 2 Tagen
Klar, deswegen berichten auch alle Seiten erst seit heute davon….sicher, dass du nicht das vorherige Update eingespielt hast….
6.0.3 habe ich auch gestern schon installiert, da hat SPON zB. schon drüber berichtet. Ob das jetzt erwähnenswert ist, dürft ihr selbst entscheiden. Recht hat er aber.
.. und eine Mitteilung, die vllt. 0,8 Informationsgehalt für andere User hier hat.
Danke für die Info. Gerade über System > Update installiert. Keine Probleme.
Zwischenfrage: habe bisher noch nichts negatives bez. Der Lücken von den Appleroutern gehört/gelesen. Waren diese mit dem Problem außen vor?
Apple-Router? Es geht hier um Fritzboxen, von anderer Hardware war nie die Rede gewesen.
Wtf sind apple router?
Timecapsule, Airport Express, Airport Extreme.
Unity Boxen kann man nicht selbst updaten, oder?
Nein, aber es wurde schon ein automatisches Update angekündigt.
Genau wie bei den EWE/Osnatel Boxen … Version 5.51 für die 7390 … und kein Update in Sicht.
Kannst das Update doch Manuel einspielen !
Toll, was das für einen Rattenschwanz nach sich zieht. Natürlich habe ich https aktiviert gehabt, DynDNS über selfhost.eu und natürlich VPN immer mal genutzt. Lauter Passwörter kreuz und quer die ich nun ändern und in den Geräten aktualisieren musste. Super gemacht, AVM.
Sowas kann ich unserer modernen Welt immer mal passieren, das es nicht sein sollte, ist klar, aber es passiert nun einmal.
Wozu braucht man noch Zufriff per HTTPS, wenn man VPN nutzt???
Mal auf die schnelle: VPN steht für virtuelles, privates Netzwerk – und zwar verschlüsselt!
Wer sich per VPN an seiner Fritzbox anmeldet, sollte anschließend über die interne IP-Adresse der Fritzbox auf diese zugreifen können – da braucht man den nach außen geöffneten HTTPS-Port nicht!,
VPN klappt bei mir leider nicht mit iPhone 5 und Fritzbox 7390.
Habe alles soweit eingerichtet, iPhone sagt auch verbunden, aber Browser, E-Mail usw. funktioniert nicht.
Hast du eine Idee, woran es liegen könnte ?
Die Subnet/IP-Adresse müssen zwischen den beiden Netzen unterschiedlich sein.
Wenn Du nicht per Mobilfunk, sondern per WLAN verbunden bist (z.B. Hotel / Uni) und Deine FB zu Hause z.B. die 192.168.0.10 / 255.255.255.0 hat und Du in Deinem WLAN eine Adresse in der Form 192.168.0.xxx wird’s auch nicht funktionieren.
Dies wird leider häufig falsch gemacht. In diese Konsulation weiß dein Gerät nicht, dass das Paket durch den VPN-Tunnel gerostet wird und versucht die Adresse in Deinem lokalen Netz (WLAN) zu finden.
Wenn Du Dich über Mobilfunk verbindest, fällt das hier flach.
Es soll allerdings auch Provider geben, die VPN nicht zulassen (bei mir haben bisher alle funktioniert).
Ansonsten muss im iPhone die Verbindund über CISCO-VPN hergestellt werden.
Dazu müssen aber die Config-Dateien, die das AVM-Tool erzeugt noch angepasst werden. Entsprechende Hilfe hierzu gibt es in DIV. Foren und bei AVM.
Das wäre mal ein toller Workaround für das iFun-Team, hier mal ein exaktes How-To zum Thema VPN zu posten! ;-)
Danke m.w. für deine Erklärung. habe mich schon immer gewundert warum VPN in manchen WLANs nicht funktioniert hat.
Hoffe mal, dass Kabelkunden nicht wieder ellenlang warten müssen…
Das Wort „ellenlang“ bezieht sich auf eine Längenangabe und keine Zeitdauer.
Das ist schon seit Lichtjahren so.
Lol^^
Hoffe, Du weißt dennoch wovon ich spreche? Sonst helfe ich gerne nach.
Natürlich müssen Passwörter in der Box (VPN, DynDNS, Mail) im Klartext abgespeichert werden. Sonst könnte die Box ja nichts mit den Accounts anfangen. Daher bin ich für die Löschung des Satzes „Dies zwingt natürlich zu der Mutmaßung, dass die Passwörter im System nicht verschlüsselt abgelegt waren.“
+1 mit Ergänzung
Die Passwörter sind sehr wohl in der Box verschlüsselt abgelegt. Auf einschlägigen Seiten findet man ja Anleitungen, um den telnet Zugang auf der Box zu aktivieren (im LAN) und dann kann man sich die Konfigurationsdateien anschauen. Die Passwörter sind verschlüsselt! Die Behauptung im Artikel ist also definitiv falsch!
Wie die Hacker es trotzdem geschafft haben? Keine Ahnung.
Das kann sein (wird leider bei einigen Linux-basierten Systemen so gemacht) – muss aber nicht.
Natürlich kann man solche Daten verschlüsselt ablegen – dem System muss ja nur der Schlüssel bekannt sein.
Was nicht geht sind Passwort-Hashes – die eignen sich nur dazu eingegebene Kennwörter zu vergleichen.
Wie viele Monate ich als Kabeldeutschland Kunde wohl auf das Update warten muss???
So ein Quatsch. Das hat doch nichts mit KabelDeutschland zu tun! Wir sind dort auch Kunde und habe mir eben das Update rutergeladen und installiert. Die oben aufgeführte Anleitung dazu ist hervorragend und das Update ließ sich in wenigen Minuten kinderleicht installieren.
Doch, das kann durchaus sein. Du hast die Fritzbox wohl selbst gekauft und konntest problemlos updaten. Er hat die Fritzbox anscheinend von Kabel Deutschland und dann wurden von denen in das subventionierte Gerät Restriktionen eingebaut, indem nur Updates eingespielt werden können, die nur von Kabel Deutschland akzeptiert und „für ihr Gerät optimiert (also verkrüppelt) wurde“.
Vielleicht kann man das Update vom FTP-Server von AVM direkt in der Kabelbox einspielen und dadurch die Restriktionen entfernen (was mMn unfair ist, weil nur wegen den Restriktionen wie Käufer das teurere Fritzbox kauften, damit es „frei“ ist).
Das ist genau das Problem. Wer ne FB hinter einem anderen Router oder Modem hängen hat, kann problemlos updaten. Nicht aber, wenn die FB zeitgleich der Router ist. (Unity/Kabel- Eigentum)
Generell ja, aber der Fehler liegt scheinbar nur in der Software wenn der Haken gesetzt ist.
Sicherer, aber nicht sicher.
Ich wiederhole: HTTPS ist potenziell sicherer, aber muss es nicht unbedingt. Es ist ein Protokoll. HTTPS verwendet die Verschlüsselungsart, die der Webserver vorgibt. Und diese Verschlüsselungsart kann sicher oder unsicher sein.
Vielleicht ist nicht es nicht klar geworden:
HTTPS ist quasi nur ein Regelwerk für eine sichere Übertragung. Es hat sich herausgestellt, dass Https unsicher ist, WENN eine unsichere Verschlüsselungsart benutzt wird. ABER Https kann auch sicher und unknackbar sein, WENN eine sichere Verschlüsselungsart zur Übertragung gewählt wird.
.
Der Knackpunkt ist also: Der Webserver, auf dem die Webseite läuft, bestimmt, wie sicher ein HTTPS ist. Wenn also der Webserver nicht fehlerhaft ist, ist Https vollkommen sicher und unknackbar. Leider akzeptieren Browser auch fehlerhafte Zertifikate wie RC4, weshalb Browser leider nicht selbst sagen, ob die einzelne HTTPS-Verbindung ein unsicheres Zertifikat nutzt.
=> HTTPS ist absolut sicher, wenn ein sicheres Zertifikat benutzt wird und der Webserver sicher ist. Davor warnt aber kein Browser bei allen potentiell unsicheren Zertifikaten.
Vielen Dank, Dirk.
Die Datenübertragung ist sicherer.
Wenn man allerdings Zugriffsdaten kennt, oder eine Sicherheitslücke im Webserver genutzt werden kann, nützt es auch nichts, dass die Daten verschlüsselt übertragen werden.
Das alles geht auch einfach mit der FritzBox-App. Da hat man auch direkten Zugriff auf Updates und allen Einstellungen.
Ich bin auf 06.01. Mein Provider erlaubt mir das Update nicht. Ich bekomme es angezeigt, aber ich erhalte nur die Nachricht, dass ein nicht näher spezifisches Problem aufgetaucht ist. Soll ich das Update manuell draufspielen oder warten bis mein Provider es freigibt? P.S.: Ich benutze MyFritz! und den Fernzugriff sowieso nicht.
Also bei mir hat das Update auf die 6.03 eine katastrophale Übertragungsrate gebracht. Von den 16MBit sind nur noch 3,5 MBit geblieben. Vor dem Update waren die 16 MBit möglich. Hat das vielleicht noch jemand beobachtet?
ja, bei mir das selbe. ich update einfach nicht. habe eh keine IP-telefonie und nicht das gleiche mail passwort. und wie ich gehört habe, kommen die daten ja nicht durch die AVM-lücke, sondern von extern.
NEVER CHANGE A RUNNING SYSTEM.
Du hast nach dem Update das selbe Problem und willst deswegen nicht Updaten????
Bei mir ebenso. Das gleiche Firmware-Update Theater hatte ich beim letzten Update vor einem halben Jahr auch. Internet per LAN einwandfrei, aber WLAN EINE KATASTROPHE. Meine Powerlineadpater mussten neu initialisiert werden. AVM, wer macht bei Euch Qualitätssicherung???
Bei mir ist nach Update meiner FB 7390 nur noch Chaos.
Meine Zugangsdaten zu T-Online werden nicht mehr angenommen.
Der Login sperrt sich dann nach neun „Fehlversuchen“. Die Hotline von der Telekom weiß auch nicht weiter.
Konnte jemand das Gleiche beobachten?
update auf 6.03 für FB 7360 SL, mit VDSL: kein Problem, nur Update war super langsam… was mich dann bisschen nervös machte.
1) Ist dieser https zugriff in der Werkseinsteung möglich oder nur wenn man dies aus persönlichen intresse aktiviert hat?
2) Sind 1:1 Router die im inneren ja AVM Boxen sind auch betroffen?
Bin nämlich nicht zuhause und hab keine lust da jetzt mit teuren Hotlines meine Rechnung zu bezahlen und dann rum zu streiten.
Ob es für die 7170 noch ein Update gibt?
Frank