Abo
  • Services:
Anzeige
Fritzbox-Modelle von AVM
Fritzbox-Modelle von AVM (Bild: Avm.de)

Automatische und manuelle Tests sowie Fuzzing

Anzeige

Es gab laut Golem.de vorliegenden Informationen auch Telefonanbieter, bei denen gar kein Schaden entstanden ist, weil die angerufenen Telefonnummern längst in Sperrlisten standen. Durch den Fehler war nicht nur diese Form des Betruges möglich, ein Angreifer konnte den Router auch komplett übernehmen und mit der IP des Besitzers im Internet agieren.

Dass die Lücke technisch komplex war, unterstrich auch AVM-Sprecher Urban Bastert: "Als wir noch auf der Suche nach der genauen Ursache des Fehlers waren, haben wir die Nutzer gewarnt und empfohlen, den Fernzugriff abzuschalten". Dass der Fehler mit dieser Funktion zu tun hat, war AVM schnell bewusst - dass er noch weitere Auswirkungen hat, ließ sich aber erst in einer Wochenendschicht klären: "Wir haben über 200 Entwickler in Berlin, und am Freitag war schon klar, dass viele davon am Samstag arbeiten werden", sagte Jan Schöllhammer.

Bekannt wurde aber zunächst der Telefonbetrug, und zwar am Freitag, dem 31. Januar 2014. Dass es sich um eine generelle Sicherheitslücke handelt, war erst am 7. Februar klar, und die ersten Updates gab es noch am selben Tag - und zwar zuerst für die Vorzeigemodelle Fritzbox 7390 und 7490. Die wurden laut Bastert besonders gut verkauft, und zudem würden die Anwender solcher komplexen Router den Fernzugriff besonders häufig aktivieren. Am 19. Februar waren dann alle AVM-Produkte, neben den Routern auch WLAN-Repeater und andere Geräte, auf die Lücke geprüft und nötigenfalls die Firmware aktualisiert worden.

In Zukunft will AVM weiterhin mit externen Prüfunternehmen zusammenarbeiten, aber auch bereits erprobte Techniken intensiver nutzen. "Wir hatten Dinge wie Fuzzing bereits im Einsatz. Dabei wird automatisiert an allen Eingabewerten, die es gibt, herumgespielt." sagte Jan Schöllhammer. Auch beispielsweise ungültige Werte der Protokolle von Schnittstellen werden so geprüft. Das Fuzzing will AVM nun verstärkt verwenden, und auch die automatisierte und manuelle Prüfung des Codes selbst vorantreiben. "Man muss immer daran arbeiten, besser zu werden - wir sind gerade dabei, das aufzuarbeiten" sagte Schöllhammer abschließend.

Weitere Hintergründe zum wachsenden Problem von Sicherheitslücken in Routern erklärt unser Bericht "Wo kommen die Löcher in den Routern her?"

 AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden

eye home zur Startseite
kosst.amojan 29. Mär 2014

Hallo, vielleicht hast DU nur vergessen, die Ethernet-Ports auf 1Gbit zu stellen? Bei...

xmaniac 16. Mär 2014

...besteht darin das man jetzt bei einigen älteren Boxen außerhalb der Gewährleistung...

Moe479 15. Mär 2014

naja grundsätzlicher entzug und fein granulierte vergabe nur an stellen die es wirklich...

HerrMannelig 13. Mär 2014

So einfach? Ich dachte es gibt einen "echten" Exploit... aber dass man über eine URL...

Yes!Yes!Yes! 13. Mär 2014

War mir erst gar nicht aufgefallen. :)



Anzeige

Stellenmarkt
  1. GEUTEBRÜCK, Windhagen
  2. über Ratbacher GmbH, Kirchheim unter Teck
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. T-Systems International GmbH, Bonn


Anzeige
Hardware-Angebote
  1. (Core i7-6700HQ + GeForce GTX 1070)
  2. 379,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: Diese ganzen angeblichen F2P sollte man...

    JouMxyzptlk | 06:44

  2. Klassisches White Collar Crime

    JouMxyzptlk | 06:34

  3. Re: Lenkradsteuerung?

    Andi K. | 04:32

  4. Re: Das Ultimative Update

    Andi K. | 04:25

  5. Re: Mensch Hauke

    teenriot* | 04:18


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel