FRITZ!Box: AVM erklärt sich zur vermeintlichen Lücke
Wie groß ist die Sicherheitslücke in den FRITZ!Boxen wirklich?
Bild: AVM
Eine mögliche Sicherheitslücke in FRITZ!Boxen verschafft offenbar ungewollte Einblicke
in das Heimnetzwerk der Router-Besitzer. Angreifer sind demnach in der Lage, über das Internet
die IP- und MAC-Adressen sowie die Hostnamen der an der FRITZ!Box angemeldeten Geräte abzugreifen.
So zumindest berichten die Kollegen von Heise Security. Außerdem hätten Dritte die Möglichkeit, die Modellbezeichnung und ID der jeweiligen FRITZ!Box zu erfahren.
Sofern ein Nutzer die FRITZ!App am AVM-Router verwendet, seien sogar verwendete Mail-Adressen in Gefahr.
Birk Blechschmidt habe dem Bericht zufolge das Sicherheitsleck entdeckt und AVM am 17. März bereits darauf hingewiesen. Die Daten lassen sich wohl über JavaScript auslesen, dies könne der Angreifer auf einer beliebigen Webseite platzieren, heißt es weiter. Die Angriffstechnik sei unter der Bezeichnung DNS-Rebinding bekannt. So lasse sich der Router darüber steuern und das JavaScript könne Funktionen aufrufen, die keinen Passwort-Schutz haben. So können sich anscheinend die sensiblen Informationen über das lokale Netzwerk auslesen lassen. Hierzu schreibt Heise Security auch: "Dieser Angriff nutzt unter anderem die Tatsache, dass das Konfigurations-Interface auch an die IPv6-Adresse der FRITZ!Box gebunden ist und der eingebaute DNS-Rebinding-Schutz dort offenbar nicht greift. Theoretisch sind via DNS-Rebinding auch Angriffe auf IoT-Devices denkbar, die sich hinter der schützenden FRITZ!Box-Firewall scheinbar in Sicherheit befinden, erklärt der Entdecker der Lücke."
AVM bezieht zur vorgeworfenen FRITZ!Box-Lücke Stellung
Wie groß ist die Sicherheitslücke in den FRITZ!Boxen wirklich?
Bild: AVM
In einem ersten Statement hatte sich AVM bereits zu der vorgeworfenen Sicherheitslücke bei den FRITZ!Boxen geäußert und einen Hinweis veröffentlicht:
"Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr
unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite
möglich, dass Informationen von Heimnetz-Geräten (nur Gerätebezeichnung,
Mac- und IP-Adresse) sichtbar sind. Ein Zugriff ist nicht möglich. Das
Risiko ist gering (CVSS v3: 3,1, low). Der Punkt wird in kommenden
Versionen gelöst."
AVM hat seine Aussage dazu noch einmal konkretisiert und teilt teltarif.de mit: "Anders als beschrieben bzw. vermutet, ist kein Zugang zu IoT oder anderen Heimnetzgeräten möglich. Ebenfalls sind nicht sichtbar: sämtliche vom User in der FRITZ!Box vorgenommenen Einstellungen und Daten (wie E-Mail-Adressen, Telefonnummern, Zugangsdaten)."
Mit der Aussage von AVM wird die bezeichnete "FRITZ!Box-Lücke" entschärft. Der Berliner Hersteller gibt damit zwar keine eindeutige Entwarnung, stuft das Sicherheitsleck aber als gering ein.
Auf unserer Ratgeberseite erhalten Sie mehr Informationen zur AVM-Firmware FRITZ!OS 6.8x und für welche FRITZ!Boxen bereits ein Update zur Verfügung steht.