Die Friitzbox 7390 ist eines der betroffenen Modelle.
Die Friitzbox 7390 ist eines der betroffenen Modelle. (Bild: AVM)

WLAN-Router Sicherheitslücke im Mediaserver der Fritzbox

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

Anzeige

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der "Fritz!Box".

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

  • Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)
Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.


Mirko Steiner 23. Mai 2012

Laut AVM wollen die das generell nicht mehr in den Geräten anbieten... siehe: http...

Kommentieren



Anzeige

  1. System Engineer (m/w) - Schwerpunkt Netzwerkinfrastruktur & IT-Security
    Bosch Software Innovations GmbH, Berlin, Immenstaad am Bodensee oder Waiblingen
  2. Senior Projektmanager (m/w)
    Medienfabrik Gütersloh GmbH, Gütersloh, Bonn oder Köln
  3. Enterprise Architect - Information Management, Backup & Storage (m/w)
    via 3C - Career Consulting Company GmbH, Home Office
  4. System- und Anwendungsadministrator/-in Linux
    Dataport, Magdeburg

 

Detailsuche


Spiele-Angebote
  1. NEU: FINAL FANTASY X/X-2 HD Remaster PS4
    49,99€ Release 15.5.
  2. GTA 5 (PC)
    59,00€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.
  3. Grand Theft Auto V [PC Download]
    53,99€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.

 

Weitere Angebote


Folgen Sie uns
       


  1. Hyundai

    Smartwatch startet Auto

  2. Soziale Netzwerke

    Vernetzt und zugenäht!

  3. Elektromobilität

    Goodyear-Reifen soll Autoakku laden

  4. Runcible

    Das Smartphone, das sich doof stellt

  5. Silent Circle

    PrivateOS 1.1 führt virtualisierte Container ein

  6. Netflix-Konkurrent

    HBO will seine Streamingplattform mit Apple starten

  7. Emeryville-Hauptstudio

    EA schließt Die-Sims-Entwickler Maxis

  8. Marktforscher

    Gartner sieht Apple bei Smartphones vor Samsung

  9. Microsoft

    Kabellose Controller und id@Xbox auch für Windows 10

  10. EU-Staaten

    Roaming-Gebühren sollen nicht komplett fallen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Freenet: Das anonyme Netzwerk mit der Schmuddelecke
Freenet
Das anonyme Netzwerk mit der Schmuddelecke
  1. U-Bahn Neue Überwachungskameras können schwenken und zoomen
  2. Matthew Garrett Intel erzwingt Entscheidung zwischen Sicherheit und Freiheit
  3. Netgear WLAN-Router aus der Ferne angreifbar

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. Die Woche im Video Abenteurer, Adware und ein fixer Anschluss
  2. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  3. USB 3.1 Richtig schnelle Mangelware

Technical Preview im Test: So fühlt sich Windows 10 für Smartphones an
Technical Preview im Test
So fühlt sich Windows 10 für Smartphones an
  1. Internet Explorer Windows 10 soll asm.js voll unterstützen
  2. Microsoft Windows 10 erhält Anmeldestandard Fido
  3. Mobiles Betriebssystem Technical Preview von Windows 10 für Smartphones ist da

  1. Re: Viele hier übersehen folgendes

    Kondratieff | 12:49

  2. Also das!

    divStar | 12:49

  3. Re: goodyear erfindet perpetuum mobile

    Trollversteher | 12:48

  4. Re: Werkstoff Holz

    Helites | 12:48

  5. Re: Warum kann's nicht "Den Einen" geben :(

    thomas001le | 12:47


  1. 12:21

  2. 12:09

  3. 12:04

  4. 11:28

  5. 11:25

  6. 11:07

  7. 10:52

  8. 10:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel