Die Friitzbox 7390 ist eines der betroffenen Modelle.
Die Friitzbox 7390 ist eines der betroffenen Modelle. (Bild: AVM)

WLAN-Router Sicherheitslücke im Mediaserver der Fritzbox

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

Anzeige

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der "Fritz!Box".

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

  • Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)
Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.


Mirko Steiner 23. Mai 2012

Laut AVM wollen die das generell nicht mehr in den Geräten anbieten... siehe: http...

Kommentieren



Anzeige

  1. Elektrotechniker / Auto­ma­tisierungs­techniker (m/w)
    KADIA Produktion GmbH + Co., Nürtingen (bei Stuttgart)
  2. SAP Basis Berater (m/w)
    4brands Reply GmbH & Co. KG, Gütersloh
  3. Anwendungsbetreuer (m/w) Customer Relationship Management (CRM)
    AGRAVIS Raiffeisen AG, Münster
  4. Projektassistent IT (m/w)
    Beumer Group GmbH & Co. KG, Beckum (Raum Münster, Dortmund, Bielefeld)

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Der Herr der Ringe - Die Spielfilm Trilogie (Extended Edition) [Blu-ray]
    39,00€
  2. Game of Thrones - Staffel 4 (Digipack + Bonusdisc) (exkl. bei Amazon.de) [Blu-ray] [Limited Edition]
    44,99€
  3. NEU: Fantastic Four - Rise of the Silver Surfer [Blu-ray]
    7,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Smartwatch-Probleme

    Apple Watch saugt iPhone-Akkus leer und lädt nicht

  2. Facetime-Klon

    Facebook Messenger kann jetzt Video-Telefonate

  3. Quartalszahlen

    Bei Apple hängt weiter (fast) alles vom iPhone ab

  4. Mobilfunk

    United Internet kauft großen Anteil an Drillisch

  5. Play Ready 3.0

    Keine 4K-Filme ohne neues Hardware-DRM für Windows 10

  6. Konsolenhersteller

    Energiesparen ja, aber nicht beim Spielen

  7. RTL Disney Fernsehen

    Super RTL startet kostenpflichtige Streaming-Plattform

  8. Steam

    Gabe Newell über kostenpflichtige Mods

  9. Cross-Site-Scripting

    Offene Sicherheitslücke in Wordpress

  10. HTTPS

    Kaspersky ermöglicht Freak-Angriff



Haben wir etwas übersehen?

E-Mail an news@golem.de



Die Woche im Video: Computerspiele, Whatsapp und Fire TV Stick
Die Woche im Video
Computerspiele, Whatsapp und Fire TV Stick
  1. Die Woche im Video Ein Zombie, Insekten und Lollipop
  2. Die Woche im Video Apple Watch, GTA 5 für PC und Akku mit Aluminium-Anode
  3. Die Woche im Video Win 10 für Smartphones, Facebook Tracking und Aprilscherze

Spionage: Der BND-Skandal im NSA-Skandal
Spionage
Der BND-Skandal im NSA-Skandal
  1. Cyberkrieg Pentagon will Angreifer mit harten Gegenschlägen abschrecken
  2. 40.000 Suchbegriffe BND-Missbrauch durch NSA deutlich größer als bekannt
  3. Bundesverwaltungsgericht DE-CIX will gegen BND-Bespitzelung klagen

Android 5.1 im Test: Viel nützlicher Kleinkram
Android 5.1 im Test
Viel nützlicher Kleinkram
  1. Google EU-Wettbewerbsverfahren auch zu Android
  2. Lollipop Trage-Erkennung setzt Passwortsperre aus
  3. Google Android 5.1 bringt mehr Bedienungskomfort und Sicherheit

  1. Re: Kennt jemand eine Fernbedienungs taugliche...

    Tzven | 00:09

  2. Re: und die leute wundern sich

    Hotohori | 00:09

  3. Re: In 10.000 Jahren...

    Schläfer | 00:05

  4. Re: Totgeburt

    Schnapsbrenner | 00:04

  5. Re: Und wenn die Qualität weiter so abnimmt, dann...

    luarix | 00:02


  1. 23:47

  2. 23:08

  3. 22:54

  4. 22:40

  5. 18:28

  6. 17:26

  7. 17:13

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel