Abo
  • Services:
Anzeige
Fritzbox-Modelle von AVM
Fritzbox-Modelle von AVM (Bild: Avm.de)

AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden

Die Sicherheitslücke in den Fritzboxen ist geschlossen, aber das ist für AVM noch nicht das Ende des Vorfalls. Im Interview mit Golem.de erklärt das Unternehmen, warum die Updates so schnell erschienen und wie solche Fehler in Zukunft vermieden werden sollen.

Anzeige

Über 80 Updates in zehn Tagen - das ist die Bilanz nach der Entdeckung einer Sicherheitslücke in beinahe allen Modellen des beliebten Routers Fritzbox. Natürlich sollten solche Fehler gar nicht erst entstehen, dass AVM sie so schnell ausgebessert hat, verdient aber Anerkennung. So meldeten sich auch auf der Cebit-Pressekonferenz von AVM mehrere Journalisten zu Wort, die dem Unternehmen ausdrücklich Lob aussprachen - in dieser Form ist das recht selten.

Golem.de wollte es aber noch etwas genauer wissen und traf AVM-Sprecher Urban Bastert und den Produktmanager Jan Schöllhammer, der bei AVM für Security zuständig ist, zu einem ausführlichen Gespräch. Schöllhammer erklärte dabei zunächst, dass AVM die Geschichte der Lücke inzwischen nachvollziehen konnte: "Diese Schwachstelle steckt in einem von uns selbst entwickelten Teil der Software. Seitdem fanden dort zweimal Neuerungen statt, der Fehler fiel aber auch dabei nicht auf. Wir testen unsere Produkte nicht nur selbst, sondern auch mit vier externen Unternehmen."

Diese Sicherheitsdienstleister, so Schöllhammer weiter, bekommen von AVM umfangreiche Dokumentationen: "Wir freuen uns über jede Lücke, die so ein Unternehmen findet". Dazu weist der Routerhersteller die externen Firmen auch stets darauf hin, an welcher Stelle Änderungen stattfanden. Im Falle der Fritzbox-Lücke war der Bug aber alles andere als trivial: "Der war tief vergraben und schwer zu finden - sowohl für uns als auch für die externen Unternehmen und auch die Angreifer. Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat."

Für diese These spricht laut AVMs Security-Chef auch, dass die Lücke nicht für die Übernahme von Heimnetzen oder andere Dinge genutzt wurde, sondern sofort zu Geld gemacht werden sollte: "Die Auswertung über Mehrwertnummern ist ein relativ etablierter Weg, um Geld zu machen. Dahinter stecken kriminelle und organisierte Strukturen." Dass sich bisher bei AVM nur rund 80 von dem Telefonbetrug betroffene Kunden gemeldet haben, führt Schöllhammer auf die Mechanismen bei Providern zurück, die solche automatisierten Anwahlen auch automatisch erkennen können.

Automatische und manuelle Tests sowie Fuzzing 

eye home zur Startseite
kosst.amojan 29. Mär 2014

Hallo, vielleicht hast DU nur vergessen, die Ethernet-Ports auf 1Gbit zu stellen? Bei...

xmaniac 16. Mär 2014

...besteht darin das man jetzt bei einigen älteren Boxen außerhalb der Gewährleistung...

Moe479 15. Mär 2014

naja grundsätzlicher entzug und fein granulierte vergabe nur an stellen die es wirklich...

HerrMannelig 13. Mär 2014

So einfach? Ich dachte es gibt einen "echten" Exploit... aber dass man über eine URL...

Yes!Yes!Yes! 13. Mär 2014

War mir erst gar nicht aufgefallen. :)



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Würzburg
  2. Universität Passau, Passau
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Gigabyte-Mainboards
  2. und 19 % Cashback bekommen

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  2. Redox OS

    Wer nicht rustet, rostet

  3. Star-Wars-Fanfilm

    Luke und Leia fliegen übers Wasser

  4. Sony

    Screen für Android Auto und Carplay kommt für 500 Euro

  5. Patent

    Samsung zeigt konkrete Idee für faltbares Smartphone

  6. Smarter Lautsprecher

    Google will Home intelligenter machen

  7. Samsung 960 Evo im Test

    Die NVMe-SSD mit dem besten Preis-Leistungs-Verhältnis

  8. Projekt Titan

    Apple will Anti-Kollisionssystem für Autos patentieren

  9. Visualisierungsprogramm

    Microsoft bringt Visio für iOS

  10. Auftragsfertiger

    TSMC investiert 16 Milliarden US-Dollar in neue Fab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

  1. Wenn wir schon beim Thema Fanfilmen sind: Mario...

    kabauterman | 12:25

  2. Re: Jetzt mal ohne zu lachen...das ist ein Klapphandy

    Endwickler | 12:23

  3. Re: Kein Kopfhöreranschluß? Unglaublich..

    Trollversteher | 12:22

  4. Wie funktionierts?

    FileLife | 12:22

  5. Re: oder direct den Pioneer SPH-DA120?

    RicoBrassers | 12:21


  1. 12:30

  2. 12:01

  3. 11:35

  4. 11:31

  5. 10:40

  6. 10:23

  7. 09:00

  8. 08:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel