Die Friitzbox 7390 ist eines der betroffenen Modelle.
Die Friitzbox 7390 ist eines der betroffenen Modelle. (Bild: AVM)

WLAN-Router Sicherheitslücke im Mediaserver der Fritzbox

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

Anzeige

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der "Fritz!Box".

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

  • Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)
Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.


Mirko Steiner 23. Mai 2012

Laut AVM wollen die das generell nicht mehr in den Geräten anbieten... siehe: http...

Kommentieren



Anzeige

  1. Business Analyst Pricing & Billing (m/w)
    Wirecard Technologies GmbH, Aschheim bei München
  2. SAP Spezialist/in für Berechtigungen und Usermanagement
    Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein
  3. Software-Entwickler (m/w) Continuous Integration
    e.solutions GmbH, Ulm
  4. IT-Release Manager (m/w)
    Unitymedia GmbH, Köln

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Saturn 3 - Steelbook [Blu-ray]
    17,20€ (Vorbesteller-Preisgarantie) - Release 24.09.
  2. NUR HEUTE: Zowie EC2-A Gaming Maus
    mit Gutscheincode pcghsonntag für 54,90€ statt 59,90€ (Preis wird im letzten Bestellschritt...
  3. NUR HEUTE: Saturn Super Sunday
    (u. a. GoPro Hero 4 Silver Adventure Edition + SP Gadgets Action Bundle für 379,00€ - solange...

 

Weitere Angebote


Folgen Sie uns
       


  1. Telefonie und Internet

    Störungen bei O2 und 1und1 in Berlin

  2. Telltale

    Details und Trailer zu Minecraft Story Mode veröffentlicht

  3. Geheimdienst

    NSA spähte Dutzende Telefone der Regierung Brasiliens aus

  4. Raumfahrt

    Russisches Versorgungsschiff erreicht ISS

  5. UNHRC

    Die UNO hat einen Sonderberichterstatter für Datenschutz

  6. Nordamerika

    Arin aktiviert Wartelistensystem für IPv4-Adressen

  7. Modellreihe CUH-1200

    Neue PS4 nutzt halb so viele Speicherchips

  8. Die Woche im Video

    Apple Music gestartet, Netzneutralität bedroht, NSA geleakt

  9. Internet.org

    Mark Zuckerberg will Daten per Laser auf die Erde übertragen

  10. TLC-Flash

    Samsung plant SSDs mit 2 und 4 TByte



Haben wir etwas übersehen?

E-Mail an news@golem.de



Protokoll: DNSSEC ist gescheitert
Protokoll
DNSSEC ist gescheitert
  1. VPN-Schwachstellen PureVPN veröffentlicht Patch für seine Windows-Software
  2. Security Viele VPN-Dienste sind unsicher

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

Radeon R9 Fury X im Test: AMDs Wasserzwerg schlägt Nvidias Titan in 4K
Radeon R9 Fury X im Test
AMDs Wasserzwerg schlägt Nvidias Titan in 4K
  1. Grafikkarte Auch Fury X rechnet mit der Mantle-Schnittstelle flotter
  2. Radeon R9 390 im Test AMDs neue alte Grafikkarten bekommen einen Nitro-Boost
  3. Grafikkarte AMDs neue R7- und R9-Modelle sind beschleunigte Vorgänger

  1. Re: In unserem Ort (Telekom) auch -.-

    Prinzeumel | 23:00

  2. Re: LOOOOL, ist der NAIV !

    Prinzeumel | 22:55

  3. Re: Das Ende der geplanten Nutzungsdauer ist...

    andi_lala | 22:46

  4. Re: IM Rousseff

    Prinzeumel | 22:44

  5. Re: Ein Jahr kostenlos?

    Niantic | 22:40


  1. 14:50

  2. 14:34

  3. 12:32

  4. 12:17

  5. 14:04

  6. 11:55

  7. 10:37

  8. 09:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel