Abo
  • Services:

AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden

Cebit 2014

Die Sicherheitslücke in den Fritzboxen ist geschlossen, aber das ist für AVM noch nicht das Ende des Vorfalls. Im Interview mit Golem.de erklärt das Unternehmen, warum die Updates so schnell erschienen und wie solche Fehler in Zukunft vermieden werden sollen.

Artikel veröffentlicht am ,
Fritzbox-Modelle von AVM
Fritzbox-Modelle von AVM (Bild: Avm.de)

Über 80 Updates in zehn Tagen - das ist die Bilanz nach der Entdeckung einer Sicherheitslücke in beinahe allen Modellen des beliebten Routers Fritzbox. Natürlich sollten solche Fehler gar nicht erst entstehen, dass AVM sie so schnell ausgebessert hat, verdient aber Anerkennung. So meldeten sich auch auf der Cebit-Pressekonferenz von AVM mehrere Journalisten zu Wort, die dem Unternehmen ausdrücklich Lob aussprachen - in dieser Form ist das recht selten.

Inhalt:
  1. AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden
  2. Automatische und manuelle Tests sowie Fuzzing

Golem.de wollte es aber noch etwas genauer wissen und traf AVM-Sprecher Urban Bastert und den Produktmanager Jan Schöllhammer, der bei AVM für Security zuständig ist, zu einem ausführlichen Gespräch. Schöllhammer erklärte dabei zunächst, dass AVM die Geschichte der Lücke inzwischen nachvollziehen konnte: "Diese Schwachstelle steckt in einem von uns selbst entwickelten Teil der Software. Seitdem fanden dort zweimal Neuerungen statt, der Fehler fiel aber auch dabei nicht auf. Wir testen unsere Produkte nicht nur selbst, sondern auch mit vier externen Unternehmen."

Diese Sicherheitsdienstleister, so Schöllhammer weiter, bekommen von AVM umfangreiche Dokumentationen: "Wir freuen uns über jede Lücke, die so ein Unternehmen findet". Dazu weist der Routerhersteller die externen Firmen auch stets darauf hin, an welcher Stelle Änderungen stattfanden. Im Falle der Fritzbox-Lücke war der Bug aber alles andere als trivial: "Der war tief vergraben und schwer zu finden - sowohl für uns als auch für die externen Unternehmen und auch die Angreifer. Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat."

Für diese These spricht laut AVMs Security-Chef auch, dass die Lücke nicht für die Übernahme von Heimnetzen oder andere Dinge genutzt wurde, sondern sofort zu Geld gemacht werden sollte: "Die Auswertung über Mehrwertnummern ist ein relativ etablierter Weg, um Geld zu machen. Dahinter stecken kriminelle und organisierte Strukturen." Dass sich bisher bei AVM nur rund 80 von dem Telefonbetrug betroffene Kunden gemeldet haben, führt Schöllhammer auf die Mechanismen bei Providern zurück, die solche automatisierten Anwahlen auch automatisch erkennen können.

Automatische und manuelle Tests sowie Fuzzing 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Notebook
    Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu
  2. Kartendienst
    Google-Autos fahren wieder durch Deutschland
  3. Vodafone
    Edeka Mobil erhält mehr ungedrosseltes Datenvolumen
  4. Himo
    Xiaomis E-Bike mit 12-Zoll-Rädern kostet rund 230 Euro
  5. Wochenrückblick
    Internet kaputt, Youtube Music unfertig, Otto chancenlos
Anzeige
Hardware-Angebote
  1. und 25€ Steam-Gutschein erhalten
  3. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Komische Geräte für komische Leute
kosst.amojan 29. Mär 2014

Hallo, vielleicht hast DU nur vergessen, die Ethernet-Ports auf 1Gbit zu stellen? Bei...

Der pfade Beigeschmack...
xmaniac 16. Mär 2014

...besteht darin das man jetzt bei einigen älteren Boxen außerhalb der Gewährleistung...

Re: Vollkommen richtig, nicht mehr nicht weniger
Moe479 15. Mär 2014

naja grundsätzlicher entzug und fein granulierte vergabe nur an stellen die es wirklich...

Re: Sehr unglaubwürdig
HerrMannelig 13. Mär 2014

So einfach? Ich dachte es gibt einen "echten" Exploit... aber dass man über eine URL...

LOL
Yes!Yes!Yes! 13. Mär 2014

War mir erst gar nicht aufgefallen. :)

Folgen Sie uns
       
Volocopter auf der Cebit 2018 angesehen

Im autonomen Volocopter haben zwei Personen mit zusammen höchstens 160 Kilogramm Platz - wir haben uns auf der Cebit 2018 trotzdem reingesetzt.

Volocopter auf der Cebit 2018 angesehen Video aufrufen
Lufttaxi
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben
Schiff
Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren
Mars
Mars: Die Staubstürme des roten Planeten
Mars
Die Staubstürme des roten Planeten

Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
  2. Mars Insight Ein Marslander ist nicht genug
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /