WLAN-Router: Sicherheitslücke im Mediaserver der Fritzbox
Die Friitzbox 7390 ist eines der betroffenen Modelle. (Bild: AVM)

WLAN-Router Sicherheitslücke im Mediaserver der Fritzbox

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

Anzeige

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der "Fritz!Box".

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

  • Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)
Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.


Mirko Steiner 23. Mai 2012

Laut AVM wollen die das generell nicht mehr in den Geräten anbieten... siehe: http...

Kommentieren



Anzeige

  1. Entwicklungsingenieur (m/w) Software
    EBE Elektro-Bau-Elemente GmbH, Leinfelden-Echterdingen bei Stuttgart
  2. IT-Prozess- und Anwendungsberater (m/w) Produktinformationsmanagement
    TRUMPF GmbH + Co. KG, Ditzingen (bei Stuttgart)
  3. Systemadministrator (m/w) Windows
    KDO Personaldienste, Oldenburg
  4. Business Analyst SAP (m/w)
    CSL Behring GmbH, Marburg

 

Detailsuche


Folgen Sie uns
       


  1. iPad Air 2 im Test

    Toll, aber kein Muss

  2. Nocomentator

    Filterkiste blendet Sportkommentare aus

  3. Gameworks

    Nvidia rollt den Rasen aus

  4. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  5. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  6. Wildstar

    NC Soft entlässt Mitarbeiter

  7. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  8. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  9. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro

  10. Toybox Turbos

    Codemasters veranstaltet Rennen auf dem Frühstückstisch



Haben wir etwas übersehen?

E-Mail an news@golem.de



Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

Merkel auf IT-Gipfel: Netzneutralität wird erst im Glasfasernetz wichtig
Merkel auf IT-Gipfel
Netzneutralität wird erst im Glasfasernetz wichtig
  1. Digitale Verwaltung 2020 E-Mail soll Briefe und Amtsbesuche ersetzen
  2. Digitale Agenda Ein Papier, das alle enttäuscht
  3. Webmail Web.de kritisiert langsame De-Mail-Einführung der Regierung

Hoverboard: Schweben wie Marty McFly
Hoverboard
Schweben wie Marty McFly
  1. Design-Fahrzeuge U-Bahnen in London sollen autonom fahren
  2. Fahrassistenzsystem Volvos virtueller Lkw-Beifahrer soll Unfälle verhindern
  3. Computergrafik US-Forscher modellieren Gesichter in Videos dreidimensional

    •  / 
    Zum Artikel