Abo
  • Services:
Anzeige
Fritzbox-Modelle von AVM
Fritzbox-Modelle von AVM (Bild: Avm.de)

AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden

Die Sicherheitslücke in den Fritzboxen ist geschlossen, aber das ist für AVM noch nicht das Ende des Vorfalls. Im Interview mit Golem.de erklärt das Unternehmen, warum die Updates so schnell erschienen und wie solche Fehler in Zukunft vermieden werden sollen.

Anzeige

Über 80 Updates in zehn Tagen - das ist die Bilanz nach der Entdeckung einer Sicherheitslücke in beinahe allen Modellen des beliebten Routers Fritzbox. Natürlich sollten solche Fehler gar nicht erst entstehen, dass AVM sie so schnell ausgebessert hat, verdient aber Anerkennung. So meldeten sich auch auf der Cebit-Pressekonferenz von AVM mehrere Journalisten zu Wort, die dem Unternehmen ausdrücklich Lob aussprachen - in dieser Form ist das recht selten.

Golem.de wollte es aber noch etwas genauer wissen und traf AVM-Sprecher Urban Bastert und den Produktmanager Jan Schöllhammer, der bei AVM für Security zuständig ist, zu einem ausführlichen Gespräch. Schöllhammer erklärte dabei zunächst, dass AVM die Geschichte der Lücke inzwischen nachvollziehen konnte: "Diese Schwachstelle steckt in einem von uns selbst entwickelten Teil der Software. Seitdem fanden dort zweimal Neuerungen statt, der Fehler fiel aber auch dabei nicht auf. Wir testen unsere Produkte nicht nur selbst, sondern auch mit vier externen Unternehmen."

Diese Sicherheitsdienstleister, so Schöllhammer weiter, bekommen von AVM umfangreiche Dokumentationen: "Wir freuen uns über jede Lücke, die so ein Unternehmen findet". Dazu weist der Routerhersteller die externen Firmen auch stets darauf hin, an welcher Stelle Änderungen stattfanden. Im Falle der Fritzbox-Lücke war der Bug aber alles andere als trivial: "Der war tief vergraben und schwer zu finden - sowohl für uns als auch für die externen Unternehmen und auch die Angreifer. Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat."

Für diese These spricht laut AVMs Security-Chef auch, dass die Lücke nicht für die Übernahme von Heimnetzen oder andere Dinge genutzt wurde, sondern sofort zu Geld gemacht werden sollte: "Die Auswertung über Mehrwertnummern ist ein relativ etablierter Weg, um Geld zu machen. Dahinter stecken kriminelle und organisierte Strukturen." Dass sich bisher bei AVM nur rund 80 von dem Telefonbetrug betroffene Kunden gemeldet haben, führt Schöllhammer auf die Mechanismen bei Providern zurück, die solche automatisierten Anwahlen auch automatisch erkennen können.

Automatische und manuelle Tests sowie Fuzzing 

eye home zur Startseite
kosst.amojan 29. Mär 2014

Hallo, vielleicht hast DU nur vergessen, die Ethernet-Ports auf 1Gbit zu stellen? Bei...

xmaniac 16. Mär 2014

...besteht darin das man jetzt bei einigen älteren Boxen außerhalb der Gewährleistung...

Moe479 15. Mär 2014

naja grundsätzlicher entzug und fein granulierte vergabe nur an stellen die es wirklich...

HerrMannelig 13. Mär 2014

So einfach? Ich dachte es gibt einen "echten" Exploit... aber dass man über eine URL...

Yes!Yes!Yes! 13. Mär 2014

War mir erst gar nicht aufgefallen. :)



Anzeige

Stellenmarkt
  1. Dentsply Sirona, The Dental Solutions Company, Bensheim
  2. Deutsche Bundesbank, München
  3. M & R Kreativ GmbH, Saarbrücken
  4. Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt, Hamburg, München, Stuttgart


Anzeige
Hardware-Angebote
  1. 6,99€
  2. (Core i5-7600K + Asus GTX 1060 Dual OC)
  3. 355,81€

Folgen Sie uns
       


  1. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  2. Armatix

    Smart Gun lässt sich mit Magneten hacken

  3. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  4. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  5. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  6. Quantengatter

    Die Bauteile des Quantencomputers

  7. Microsoft gibt Entwarnung

    MS Paint bleibt

  8. BGH-Urteil

    Banken dürfen Geld für SMS-TANs verlangen

  9. Deep Space Gateway

    Lockheed baut eine Raumstation aus Spaceshuttle-Frachtmodul

  10. Auftragsfertiger

    Samsung will Marktanteil verdreifachen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Elektrorennserie Mercedes Benz steigt in die Formel E ein
  2. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  3. Verbrenner Porsche denkt über Dieselausstieg nach

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt
  2. Matebook X Huaweis erstes Notebook im Handel erhältlich
  3. Y6 (2017) und Y7 Huawei bringt zwei neue Einsteiger-Smartphones ab 180 Euro

  1. Re: mMn sollte man da noch ne bedingung hinzufügen

    Teebecher | 14:27

  2. Re: Warum nicht auch die ISS ganz oder teilweise...

    dcon1301 | 14:27

  3. Re: Benutzen Googler eingentlich privat Android?

    logged_in | 14:25

  4. Re: Ich verstehe dieses Urteil nicht

    Dieselmeister | 14:25

  5. Re: Kein Wort über die Reparierbarkeit...

    Kondratieff | 14:19


  1. 14:09

  2. 13:37

  3. 13:26

  4. 12:26

  5. 12:12

  6. 12:05

  7. 11:50

  8. 11:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel