Abo
  • Services:
Anzeige
Fritzbox-Modelle von AVM
Fritzbox-Modelle von AVM (Bild: Avm.de)

Automatische und manuelle Tests sowie Fuzzing

Anzeige

Es gab laut Golem.de vorliegenden Informationen auch Telefonanbieter, bei denen gar kein Schaden entstanden ist, weil die angerufenen Telefonnummern längst in Sperrlisten standen. Durch den Fehler war nicht nur diese Form des Betruges möglich, ein Angreifer konnte den Router auch komplett übernehmen und mit der IP des Besitzers im Internet agieren.

Dass die Lücke technisch komplex war, unterstrich auch AVM-Sprecher Urban Bastert: "Als wir noch auf der Suche nach der genauen Ursache des Fehlers waren, haben wir die Nutzer gewarnt und empfohlen, den Fernzugriff abzuschalten". Dass der Fehler mit dieser Funktion zu tun hat, war AVM schnell bewusst - dass er noch weitere Auswirkungen hat, ließ sich aber erst in einer Wochenendschicht klären: "Wir haben über 200 Entwickler in Berlin, und am Freitag war schon klar, dass viele davon am Samstag arbeiten werden", sagte Jan Schöllhammer.

Bekannt wurde aber zunächst der Telefonbetrug, und zwar am Freitag, dem 31. Januar 2014. Dass es sich um eine generelle Sicherheitslücke handelt, war erst am 7. Februar klar, und die ersten Updates gab es noch am selben Tag - und zwar zuerst für die Vorzeigemodelle Fritzbox 7390 und 7490. Die wurden laut Bastert besonders gut verkauft, und zudem würden die Anwender solcher komplexen Router den Fernzugriff besonders häufig aktivieren. Am 19. Februar waren dann alle AVM-Produkte, neben den Routern auch WLAN-Repeater und andere Geräte, auf die Lücke geprüft und nötigenfalls die Firmware aktualisiert worden.

In Zukunft will AVM weiterhin mit externen Prüfunternehmen zusammenarbeiten, aber auch bereits erprobte Techniken intensiver nutzen. "Wir hatten Dinge wie Fuzzing bereits im Einsatz. Dabei wird automatisiert an allen Eingabewerten, die es gibt, herumgespielt." sagte Jan Schöllhammer. Auch beispielsweise ungültige Werte der Protokolle von Schnittstellen werden so geprüft. Das Fuzzing will AVM nun verstärkt verwenden, und auch die automatisierte und manuelle Prüfung des Codes selbst vorantreiben. "Man muss immer daran arbeiten, besser zu werden - wir sind gerade dabei, das aufzuarbeiten" sagte Schöllhammer abschließend.

Weitere Hintergründe zum wachsenden Problem von Sicherheitslücken in Routern erklärt unser Bericht "Wo kommen die Löcher in den Routern her?"

 AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden

eye home zur Startseite
kosst.amojan 29. Mär 2014

Hallo, vielleicht hast DU nur vergessen, die Ethernet-Ports auf 1Gbit zu stellen? Bei...

xmaniac 16. Mär 2014

...besteht darin das man jetzt bei einigen älteren Boxen außerhalb der Gewährleistung...

Moe479 15. Mär 2014

naja grundsätzlicher entzug und fein granulierte vergabe nur an stellen die es wirklich...

HerrMannelig 13. Mär 2014

So einfach? Ich dachte es gibt einen "echten" Exploit... aber dass man über eine URL...

Yes!Yes!Yes! 13. Mär 2014

War mir erst gar nicht aufgefallen. :)



Anzeige

Stellenmarkt
  1. Jobware Online-Service GmbH, Paderborn
  2. equensWorldline GmbH, Aachen
  3. IKOR Management- und Systemberatung GmbH, deutschlandweit
  4. HDPnet GmbH, Heidelberg


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...

Folgen Sie uns
       


  1. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  2. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  3. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  4. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  5. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  6. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  7. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  8. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  9. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  10. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: sehr interessant

    hum4n0id3 | 10:57

  2. Re: Naive Frage: Cloudzwang ?

    Ovaron | 10:57

  3. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Seroy | 10:56

  4. Re: "muss für den Einsatz der Razer-Box ... im...

    ms (Golem.de) | 10:51

  5. Re: Für Vermögende die kreativ sein wollen..

    Seroy | 10:49


  1. 10:10

  2. 09:59

  3. 09:00

  4. 18:58

  5. 18:20

  6. 17:59

  7. 17:44

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel