Anzeige
Die Friitzbox 7390 ist eines der betroffenen Modelle.
Die Friitzbox 7390 ist eines der betroffenen Modelle. (Bild: AVM)

WLAN-Router Sicherheitslücke im Mediaserver der Fritzbox

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

Anzeige

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der "Fritz!Box".

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

  • Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)
Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.


Mirko Steiner 23. Mai 2012

Laut AVM wollen die das generell nicht mehr in den Geräten anbieten... siehe: http...

Kommentieren



Anzeige

  1. Network Test Engineer (m/w)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Leiter/in Informationstechnologie
    Wolfsburger Abfallwirtschaft und Straßenreinigung Service Gesellschaft mbH, Wolfsburg
  3. Berater IT-Strategy (m/w)
    Detecon International GmbH, Köln, Frankfurt a.M. oder München
  4. Teamleiter Rechenzentrumssteuerung (m/w)
    DEKRA SE, Stuttgart

Detailsuche


Hardware-Angebote
  1. Alle PCGH-PCs mit Nvidia-Karte jetzt inkl. Vollversion von Rise of the Tomb Raider
  2. NEU: 100€ Rabatt auf Mifcom-Silent-PCs
  3. Microsoft Surface Book – 128 GB / Intel Core i5
    1484,10€ / Studentenpreis (ab 18. Februar lieferbar)

Weitere Angebote


Folgen Sie uns
       


  1. Staatliche Überwachung

    Die Regierung liest jeden Post

  2. Windows Insider

    Microsoft startet Release Previews von Windows 10

  3. Kabelnetz

    United Internet wird größter Aktionär bei Tele Columbus

  4. Elektroauto

    Bentley will einen elektrischen Sportwagen bauen

  5. Model 3

    Der nächste Tesla soll 35.000 US-Dollar kosten

  6. The Pirate Bay

    Filmindustrie will Streaming mit Torrents Time unterbinden

  7. Astronomie

    Forscher entdecken 900 neue Galaxien

  8. Server-Prozessor

    Cern bestätigt Zen-Opteron mit 32 Kernen

  9. Blizzard

    Hearthstone-Cheat-Tools verteilen Malware

  10. Windows 10 Mobile

    Vaios Phone Biz kommt nicht nach Europa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Eizo Foris FS 2735 im Test: Beinahe der Wunschlos-glücklich-Monitor
Eizo Foris FS 2735 im Test
Beinahe der Wunschlos-glücklich-Monitor

Xcom 2 im Test: Strategie wie vom anderen Stern
Xcom 2 im Test
Strategie wie vom anderen Stern
  1. Vorschau Spielejahr 2016 Cowboys und Cyberspace
  2. Xcom 2 angespielt Mit Strategie die Menschheit retten

Verschlüsselung: Nach Truecrypt kommt Veracrypt
Verschlüsselung
Nach Truecrypt kommt Veracrypt

  1. Re: große Spielebibliotheken

    plastikschaufel | 09:40

  2. Re: akku?

    bernd71 | 09:40

  3. Re: Angabe der Akkukapazität wichtiger als Reichweite

    Psy2063 | 09:36

  4. Re: Let's Play

    nuddelsalat | 09:35

  5. und täglich grüsst ein neuer Tesla Artikel

    jo-1 | 09:35


  1. 09:12

  2. 08:45

  3. 08:30

  4. 07:28

  5. 07:14

  6. 19:04

  7. 18:43

  8. 18:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel