Telefonie-Missbrauch mit AVMs Fritzboxen

Alles, was sonst nirgends dazu passt

Moderatoren: Yusuf, Florian S., Sven

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 07.02.2014, 20:26

Es war doch nicht der unvorsichtige Benutzer schuld. Es gibt ein fettes Loch in den Boxen unabhängig von irgendwelchen Einstellungen. Deshalb gibt es schnellstens Updates. Da die Boxen Bestandteil des Netzes sind, ist rechtlich kein Kunde schuldig und muss für eventuelle Schäden aufkommen. Der Provider, je nach Verhalten, jedoch für Schäden im Kundennetz!

AVM stellt jetzt schnellstens Updates zur Verfügung:

http://www.heise.de/newsticker/meldung/Fritzbox-Angriff-analysiert-AVM-bereitet-Firmware-Updates-vor-2108862.html

AVM hat den für Telefoniemissbrauch benutzten Angriffsweg nachvollzogen und bereitet Firmware-Updates für Fritzboxen vor, die am Wochenende erscheinen sollen.

Bei der Analyse der Telefonie-Missbräuche über die Fritzbox-Fernkonfiguration hat der Hersteller AVM herausgefunden, dass anders als zunächst vermutet doch keine auf anderen Wegen beschafften Zugangsdaten verwendet wurden. Offenbar haben die Angreifer einen Weg gefunden, die Authentifizierung beim Fernzugriff per Browser zu umgehen.

Als Gegenmaßnahme bereitet AVM derzeit Firmware-Updates für alle aktuellen Fritzboxen vor. Die Updates sollen gestaffelt in den nächsten Tagen erscheinen. Wann ein Update für welchen Gerätetyp zur Verfügung steht, will AVM auf seiner Sicherheitsseite fortlaufend ankündigen.

Update unbedingt einspielen

Alle Fritzbox-Nutzer sollten das Update einspielen. Bis das geschehen ist, bleibt es bei der Empfehlung, den Fernzugang abgeschaltet zu lassen. Ferner sollten Sie sicherheitshalber nicht nur das Konfigurationspasswort, sondern auch andere in der Box hinterlegte Zugangsdaten ändern, etwa solche für Push-E-Mail-Statusmeldungen oder externe SIP-Zugänge.

Wer eine vom Provider bereitgestellte Fritzbox verwendet, beispielsweise das Modell 6360 von Kabel Deutschland, muss mit dem Reaktivieren des Fernzugangs warten, bis der Provider ein Update bereitstellt beziehungsweise von sich aus per TR-069-Fernkonfiguration einspielt.

[Update 7.2.2014 19:15]: Inzwischen steht das Update für die Fritzbox 7390 bereit. Hinweis auf Homeserver von 1&1 entfernt, weil sich bei diesem nach Leserhinweisen auch die Original-Firmware von AVM einspielen lässt.
--------------------------------------------------------------------------------------------------------------------------------------------------------

Bleibt anzumerken, dass über diesen Bug nicht nur Kosten bezüglich Telefonie entstehen können sondern die Hacker auch in den Heimnetzen herumspazieren und diese verseuchen können. Kann man auch schöne Eier bezüglich Banking usw. hinterlegen. M-Net muss also für absolute Informationstransparenz stehen und die neue Firmware schnellstens installieren (auch am Wochenende). Und wenn die M-Net-spezifische FW noch nicht zur Verfügung steht eben die Offizielle!

Es gilt Schaden von den Kunden abzuwenden und nicht eine unverständliche Politik weiter zu betreiben.

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 07.02.2014, 20:58

Kunden, welche den Dienst MyFRITZ als dyn. DNS nutzen wurden schon von AVM mittels Mail gewarnt. Allerdings haben sich die Erkenntnisse so stark geändert, dass eine erneute Warnung fällig wäre.

Und wie werden die M-Net-Kunden informiert und gewarnt, welche nicht diesen Dienst nutzen (andere oder keinen)? Sicherlich nicht über das Forum. Hier hält sich nur eine verschwindet kleine Minderheit auf. Sogar das Portal erreicht nur wenige. Ich habe Bekannte, die waren selbst noch nie im Portal. Es bietet eben zu wenig!

mathtm
Aufsteiger
Aufsteiger
Beiträge: 209
Registriert: 04.12.2009, 13:30
Wohnort: München, Schwabing

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon mathtm » 07.02.2014, 22:53

Pierre hat geschrieben:Es gibt ein fettes Loch in den Boxen unabhängig von irgendwelchen Einstellungen.
Na ja, ganz so unabhängig von den Einstellungen scheint es dann doch nicht zu sein.
Solange der Fernzugriff nicht aktiv aktiviert worden ist, scheint die Box nach aktuellem Stand der Dinge nicht verwundbar zu sein.

http://avm.de/de/Sicherheit/hinweis.html hat geschrieben:Falls Sie zuvor den Fernzugriff (MyFRITZ! und HTTPS) nicht verwendet haben, brauchen Sie nichts weiter zu tun.

http://avm.de/de/News/artikel/2014/angriffe_auf_fritzbox_nachvollzogen.html hat geschrieben:Die bereits ausgesprochene Empfehlung den Port 443 („Internetzugriff auf die FRITZ!Box über HTTPS“) zu schließen, gilt weiterhin und unterbindet diese Angriffe.

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 08.02.2014, 10:04

mathtm hat geschrieben:
Na ja, ganz so unabhängig von den Einstellungen scheint es dann doch nicht zu sein.
Solange der Fernzugriff nicht aktiv aktiviert worden ist, scheint die Box nach aktuellem Stand der Dinge nicht verwundbar zu sein.


Eben "scheint" die Box nicht verwundbar zu sein. Die Informationen die bis jetzt vorliegen sind alles andere als transparent (genauere technische Aussagen zu den Ursachen fehlen - so wie üblich) um eine eigene Einschätzung vornehmen zu können. Es ist sehr schwierig eine fehlerhafte Software in all ihren Abweichungen nachvollziehen zu können, besonders wenn das gesamte System keine saubere Strukturen hat. So konnte ich vor einigen Wochen feststellen, dass sich einige Bereiche aus dem Heimnetz heraus mit dem MYFritz-Namen ansprechen ließen wenn der Zugriff über das Internet gestattet war, andere wiederum nicht. Die Box scheint also Schwierigkeiten zu haben zwischen Internet und Heimnetz zu unterscheiden. Inzwischen erlebe ich noch andere, für AVM unerklärliche Phänomene, die sowohl mit der Authentifizierung zu tun haben (scheint nur bei der Provider spezifischen Firmware aufzutreten) als auch genereller Natur. So scheint auch die Funktion "auf die Werkseinstellungen zurücksetzen" je nach Vorgeschichte nicht sauber zu funktionieren. Diese Tests werde ich erst nach dem Update wieder aufnehmen.

Die Fritz-Box ist ein Funktionsweltmeister mit schwacher Hardware und den daraus resultierenden Sicherheitsproblemen. Es ist meiner Meinung nach von M-Net leichtsinnig diese Boxen vorzuschreiben. Es könnte ein Angebot an die Kunden sein, ebenso wie die Wartung (Updates) ein Angebot an die Kunden sein könnte. Ein Zwang dürfte es nicht sein! Klar, man wird keinen fehlerfreien Router auftreiben können. Aber die riesige Monokultur die heute durch die vielen NGN-Provider gesät wird, lockt geradezu die "bösen Buben" an.

mathtm
Aufsteiger
Aufsteiger
Beiträge: 209
Registriert: 04.12.2009, 13:30
Wohnort: München, Schwabing

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon mathtm » 08.02.2014, 11:31

Pierre hat geschrieben:Die Informationen die bis jetzt vorliegen sind alles andere als transparent (genauere technische Aussagen zu den Ursachen fehlen - so wie üblich) um eine eigene Einschätzung vornehmen zu können.
Richtig, aber dann sollte man auch keine Gerüchte oder Behauptungen wie
Pierre hat geschrieben:Es war doch nicht der unvorsichtige Benutzer schuld. Es gibt ein fettes Loch in den Boxen unabhängig von irgendwelchen Einstellungen.
in die Welt setzen, wenn man es nicht belegen kann.
Ich finde den Routerzwang auch vollkommen schwachsinnig, aber unfundierte Panikmache bringt hier jetzt auch niemanden weiter.

In diesem speziellen Fall dürfte sich der eine oder andere Betroffene allerdings vermutlich sogar wünschen, die Sicherheitslücke würde tatsächlich unabhängig von irgendwelchen Einstellungen bestehen. Dann hat sich der Kunde nämlich nichts zu schulden kommen lassen und die Haftung ließe sich leichter auf die Provider abschieben (das Ding ist ja schließlich Teil der Provider-Infrastruktur, nicht wahr?)

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 08.02.2014, 11:51

Hallo mathtm,

deine Aussagen stimmen nicht. Immerhin gibt es die Aussage von AVM - und diese ist nicht zweideutig - dass ein Firmwarefehler in der Authentifizierungsroutine vorliegt und es deshalb der Einbruch mit großer krimineller Energie möglich ist. Das sind keine Gerüchte und auch der Grund weshalb man sehr schnell Updates bereit stellt. Alle anderen Aussagen sind präventive Sicherheitsmaßnahmen, welche ich auch nicht anzweifele, welche aber nicht ganz so klar im Zusammenhang mit dem Fehlverhalten stehen. Inzwischen sind ja auch nicht nur einige Dutzend sondern alleine schon eine mittlere dreistelliger Anzahl bei einem Provider betroffen. M-Net-Kunden können nicht nachprüfen, da ihr Portal kein Zugriff auf die entsprechenden aufgelaufenen Telefongespräche bietet. Es gibt auch andere Provider bei denen das nicht möglich ist. M-Net selbst könnte allerdings eine Suchroutine mit den bekannten (inzwischen gesperrten) Rufnummern laufen lassen und dieses Ergebnis kommunizieren! Eine Warnung der Kunden wäre auch nicht fehl am Platze. Die notwendige Sorgfaltspflicht muss nicht nur der Kunde walten lassen.

mathtm hat geschrieben:
In diesem speziellen Fall dürfte sich der eine oder andere Betroffene allerdings vermutlich sogar wünschen, die Sicherheitslücke würde tatsächlich unabhängig von irgendwelchen Einstellungen bestehen. Dann hat sich der Kunde nämlich nichts zu schulden kommen lassen und die Haftung ließe sich leichter auf die Provider abschieben (das Ding ist ja schließlich Teil der Provider-Infrastruktur, nicht wahr?)


Der Kunde, der die Zugriffe übers Internet genutzt hat (es sollen ca. 10 % der Fritzbox-Nutzer tun), wird nicht dadurch schuldig, wenn er eine angeboten Funktion nutzt. Ich finde, das ist schon ein recht abseitiges Rechtsverständnis. Und da der Kunde nicht selbst über den Einsatz des Routers entscheiden kann, liegt die Verantwortung für die Funktionsfähigkeit des Routers eindeutig beim Provider. Der Kunde sitzt nur mit im Bot, wenn er Funktionen freischaltet und dabei nicht die notwendige Sorgfaltspflicht walten lässt.

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 08.02.2014, 12:04

FAZ
Der Angriff über den Port 443 hat nichts mit dem HTTPS-Protokoll selbst zu tun. Laut Aussagen von AVM hätte es auch jeder andere Port sein können. Die Kriminellen haben nicht das Protokoll geknackt, sondern eine Lücke in der Software der Fritzbox ausgenutzt. AVM hat diese an diesem Freitag erst entdeckt und bietet in den nächsten Tagen sukzessive Updates an.


http://www.faz.net/aktuell/technik-motor/computer-internet/angriffsmuster-identifiziert-fritzbox-wurde-doch-gehackt-12790551.html

mathtm
Aufsteiger
Aufsteiger
Beiträge: 209
Registriert: 04.12.2009, 13:30
Wohnort: München, Schwabing

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon mathtm » 08.02.2014, 13:24

In dem von dir verlinkten Artikel, unmittelbar nach dem von dir zitierten Teil:
Es gilt nach wie vor: Alle Fritzbox-Besitzer sollten ihren Fernzugriff deaktivieren. Wer ihn nicht freigeschaltet hat, muss zunächst kein Eindringen fürchten
Also was nun? Das ist ja nun eben keine eindeutige Aussage, dass es egal ist, ob man den Fernzugriff an hat oder nicht.
Und deswegen ist eine pauschale Behauptung dass es so wäre nun einmal wenig zielführend.

Aktuellste offizielle Stellungnahme von AVM:
http://avm.de/de/Sicherheit/hinweis.html hat geschrieben:Die in den letzten Tagen aufgetretenen Angriffe auf die FRITZ!Box wurden nachvollzogen. Die Täter haben über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen.
und weiter
Falls Sie zuvor den Fernzugriff (MyFRITZ! und HTTPS) nicht verwendet haben, brauchen Sie nach dem Update nichts weiter zu tun.


Die Aussage
http://www.faz.net/aktuell/technik-motor/computer-internet/angriffsmuster-identifiziert-fritzbox-wurde-doch-gehackt-12790551.html hat geschrieben:Der Angriff über den Port 443 hat nichts mit dem HTTPS-Protokoll selbst zu tun. Laut Aussagen von AVM hätte es auch jeder andere Port sein können.
lässt sich halt auch so interpretieren, dass nicht das HTTPS-Protokoll (das üblicherweise auf Port 443 läuft) das Angriffsziel war, sondern der Dienst der Box, der dort lauscht und nur aktiv ist, wenn die Fernkonfig aktiviert wurde.

Pierre hat geschrieben:Der Kunde, der die Zugriffe übers Internet genutzt hat (es sollen ca. 10 % der Fritzbox-Nutzer tun), wird nicht dadurch schuldig, wenn er eine angeboten Funktion nutzt. Ich finde, das ist schon ein recht abseitiges Rechtsverständnis. Und da der Kunde nicht selbst über den Einsatz des Routers entscheiden kann, liegt die Verantwortung für die Funktionsfähigkeit des Routers eindeutig beim Provider. Der Kunde sitzt nur mit im Bot, wenn er Funktionen freischaltet und dabei nicht die notwendige Sorgfaltspflicht walten lässt.
Richtig. Und wenn der Zugriff über eine Sicherheitslücke erfolgt, auf die der Kunde keinen Zugriff hat, kann der Provider sich den Vorwurf der vernachlässigten Sorgfaltspflicht an den Hut stecken, während du das andernfalls erstmal ausdiskutieren darfst, ob der Zugriff nicht vielleicht doch deine Schuld war.
Ich hab nirgends behauptet, dass der Kunde andernfalls automatisch schuld ist, sondern nur dass es leichter ist, den Provider in Haftung zu nehmen, wenn der Kunde nicht einmal grob fahrlässig schuld sein kann. Bitte aufmerksamer lesen, bevor du mir ein "abseitiges Rechtsverständnis" unterstellst.

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 08.02.2014, 14:01

Immerhin stellst auch du nur technische Vermutungen an und stellst an mehreren Stellen fest, dass die Aussagen nicht so eindeutig sind. Meiner Meinung sind Sicherheitsfragen eben keine Sache der Vermutungen. Und im Zweifelsfall muss man eben etwas größere Vorsicht walten lassen.

mathtm
Aufsteiger
Aufsteiger
Beiträge: 209
Registriert: 04.12.2009, 13:30
Wohnort: München, Schwabing

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon mathtm » 08.02.2014, 14:21

Pierre hat geschrieben:Immerhin stellst auch du nur technische Vermutungen an und stellst an mehreren Stellen fest, dass die Aussagen nicht so eindeutig sind.
Richtig, ich gehöre ja nicht zu den armen Schweinen bei AVM, die jetzt gerade um ihr Wochenende gebracht werden ;)

Pierre hat geschrieben:Meiner Meinung sind Sicherheitsfragen eben keine Sache der Vermutungen. Und im Zweifelsfall muss man eben etwas größere Vorsicht walten lassen.
Da stimme ich mit dir prinzipiell überein. Aber man muss meiner Meinung nach halt auch vorsichtig sein, etwas nicht als Fakt zu verkaufen, solange es nicht klar ist. Malt man erst den Teufel an die Wand und hinterher stellt sich raus, dass es zumindest nicht ganz so schlimm war, besteht die Gefahr dass die Warnungen irgendwann noch ungehörter verhallen.

Feuerstein
Junior - Member
Junior - Member
Beiträge: 6
Registriert: 05.01.2014, 22:32
Wohnort: 86399 Bobingen

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Feuerstein » 11.02.2014, 09:19

Wann kommt denn endlich das Update, mit dem das Sicherheitsloch in den FritzBoxen beseitigt wird? Zitat von AVM: "AVM stellt ein wichtiges Sicherheits-Update für die FRITZ!Box bereit und empfiehlt dringend, dieses Update durchzuführen." Und M-Net?

gfuellner
Junior - Member
Junior - Member
Beiträge: 10
Registriert: 12.05.2009, 08:35

Wann kann ich die 7390 selbst updaten?

Beitragvon gfuellner » 11.02.2014, 09:36

Es geht um mehr als um "Spass mit der Telefonrechnung von ein paar Technikfreaks, die partout Fernwartung brauchen"

Es muss vielmehr davon ausgegangen werden, dass die Bedrohung jeden betrifft, egal ob er bisher Fernzugang oder VPN nutzt oder nicht: Ein Zugang auf http://fritz.box schien nämlich ohne Kenntnis des Passwortes (1) möglich, was durch CSRF-Angriffe per mailclient (2) bzw. Foxacid :bgdev (3) o. a. kriminelle Websites (4) ausgenutzt werden konnte.

Leider kann ich die Firmware nicht selbst updaten, da TR-069-Zwang besteht. Ich gehe davon aus, die 6.03 wie von mnet angekündigt heute oder morgen zu bekommen.

Andernfalls: wie ist denn die heutige Lage: Würde mnet dulden, dass ich die Box selbst update, nachdem ich die SIP-Zugangsdaten ausgelesen habe ? Wie viele Kunden tun das eigentlich heute schon?


(1) http://www1.wdr.de/themen/digital/fritzbox102.html
(2) http://www.heise.de/security/meldung/Ma ... 59354.html
(3) http://www.spiegel.de/fotostrecke/qfire ... 05358.html
(4) http://de.wikipedia.org/wiki/CSRF
Zuletzt geändert von gfuellner am 11.02.2014, 10:07, insgesamt 2-mal geändert.

Benutzeravatar
Tician
Admin
Admin
Beiträge: 4103
Registriert: 28.03.2013, 10:21

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Tician » 11.02.2014, 10:01

Siehe viewtopic.php?f=2&t=8560&start=30 mein letzter Beitrag.
Tician Stölzel
M-net Support

Pierre
Aufsteiger
Aufsteiger
Beiträge: 213
Registriert: 16.08.2006, 21:24

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Pierre » 11.02.2014, 10:28

M-Net testet die Firmware der Fritzboxen, stellt dabei regelmäßig Fehler fest und installiert sie nach Behebung. Trotzdem gehen immer wieder eine Menge Fehler durch die Lappen. Wegen einem konkreten, in Zusammenhang mit der AB-Funktion, stehe ich z.B. mit AVM in Kontakt (diese staunen nur). Habe am Sonntag wieder einen "tollen" zusätzlichen Fehler im Zusammenhang mit "Werkseinstellungen laden" und Authentifizierung am LAN/WLAN gemacht.

Da ich Zeit hatte und für AVM nicht überfrachtete Diagnosedaten erstellen wollte, setzte ich die Fritzbox auf Werkseinstellungen zurück und richtete nur FAX, DECT-Mobilteil und AB-Funktion ein. Auf WLAN/LAN Telefone und vielen sonstigen Kram verzichtete ich. Um den Anrufbeantworter zu beschäftigen wollte ich über Sipgate anrufen. Der PhonerLite war allerdings noch auf die Fritzbox auf 620 eingestellt und ich konnte telefonieren trotzdem in der Fritzbox dieser Anschluss nicht eingetragen war und die Registrierung seitens PhonerLite schief lief (am Mobilteil erschien bei Internanruf sogar der Name des vorherigen Phones). Dieser Effekt verschwand nachdem ich ein neuen 620er parametrisierte. Es würde der Sicherheit sicherlich zuträglich sein, wenn bei AVM Werkseinstellungen wirklich Werkseinstellungen werden würden. Andere bösartige Effekte habe ich hier schon geschildert (Zuordnung WWW/Lokal). Werkseinstellungen scheint primär eine Beschäftigungstherapie für Kunden zu sein, die sich über ein Fehlverhalten beschweren.

Genau aus diesen Gründen glaube ich nicht der offiziellen Kommunikation von AVM bezüglich dem aktuellen Fehler. Und ich glaube auch nicht, dass nur Kunden mit freigeschaltetem HTTPS-Zugang gefährdet sein sollen. Wie verhält es sich z.B. mit der Sicherheit, wenn ein Dienst irrtümlich gefeuert wurde, dann deaktiviert wird aber in Wirklichkeit in Betrieb bleibt und nur sekundäre Funktionen still liegen? ........

Gestern schrieb mich AVM an, dass das Update für meine 7360 bereit stünde. M-Net stellte jedoch Fehler fest. Waren diese Fehler spezifisch für die M-Net-Version? Und wie lange wollen M-Net und andere NGN-Provider die heutige Geschäftsstrategie bei den strukturellen Schwächen der Fritzbox noch durchstehen. Sie gefährden damit ihre Kunden zusätzlich. Es geht nicht nur um Telefonkosten. Und wieso liefert M-Net laufend fehlerhafte Firmware-Versionen aus, ist aber der Überzeugung einen Einbruch in ihr Firmennetz verhindern zu können (TR-069).

Feuerstein
Junior - Member
Junior - Member
Beiträge: 6
Registriert: 05.01.2014, 22:32
Wohnort: 86399 Bobingen

Re: Telefonie-Missbrauch mit AVMs Fritzboxen

Beitragvon Feuerstein » 13.02.2014, 09:59

aktueller Stand (13.2.2014, 10 Uhr): Es ist immer noch kein Update (Version 6.03) auf meine Fritz-Box aufgespielt. Gut Ding braucht Wele bei M-Net?


Zurück zu „Café“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast