PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : AVM: Erneute Sicherheitsprobleme mit der FritzBox-Fernwartung



The Flash
21.08.2014, 15:50
AVM: Erneute Sicherheitsprobleme mit der FritzBox-Fernwartung


http://img.winfuture.de/teaser/660/10135.jpg
http://o0.winfuture.de/delivery/lg.php?bannerid=870&campaignid=221&zoneid=360&loc=1&referer=http%3A%2F%2Fwinfuture .de%2Fnews%2C83254.html&cb=62f46d6d47
Fehler in der Fernwartung

Die aktuell von Experten von heise Security entdeckte Sicherheitslücke machte es wegen eines Fehlers in der Fernwartungsfunktion der FritzBoxen unter bestimmten Umständen möglich, die volle Kontrolle über den Router und den Telefonanschluss zu erlangen. So könnten Angreifern mit Hilfe der MyFritz-Apps für iOS und Android auf das Web-Interface Zugriff erlangen, ohne die entsprechenden Login-Daten einzugeben.

http://scr.wfcdn.de/10688/AVM-MyFritz-App-1408553349-0-11.jpg



Die Apps sollen es Nutzern von Fritzbox-Routern eigentlich ermöglichen, auch unterwegs auf Inhalte wie Anruflisten und Medien zuzugreifen. Dafür bauen die Anwendungen per HTTPS eine verschlüsselte Verbindung zu dem Router auf. Genau in diesen vermeintlich sicheren Datenverkehr sollen sich Angreifer laut den aktuellen Erkenntnissen aber einklinken können, wenn die App beispielsweise über ein öffentliches Netzwerk Anschluss findet.

Eingeklinkt über die App

Das Problem: Bei diesem unautorisierten Zugriff kann von den Angreifern die sogenannte Session-ID des legitimen Nutzers entwendet werden, die es ermöglicht, ohne Login-Daten auf die Web-Oberfläche der FritzBox zu gelangen. Von diesem Punkt aus können die unerwünschten Router-Gäste beispielsweise einen neuen Account anlegen, der den Zugang auch nach Ablauf der Session-ID ermöglicht.

Wie heise mitteilt, habe man nach der Entdeckung der Sicherheitslücke mit AVM Kontakt aufgenommen, um den Hersteller vor der Veröffentlichung Zeit für einen zuverlässigen Fix zu verschaffen. Dieser habe die Lücke in der Fernzugriffs-App daraufhin geschlossen.

App überprüfen für mehr Sicherheit

Wer die MyFritz-App für iOS und Android nutzt, sollte deshalb überprüfen, ob diese auf dem neusten Stand ist. Mit der frischen Version merkt sich die Anwendung beim ersten Verbindungsaufbau das von der Fritzbox ausgegebene SSL-Zertifikat. Sollte dieser "Schlüssel" durch einen Angriff verändert werden, gibt die MyFritz-App eine Warnmeldung aus. Aus diesem Grund sollten Verbindungen mit der Fritzbox nach dem App-Update im Heimnetzwerk neu eingerichtet werden.




:dbf:
winfuture