• IT-Karriere:
  • Services:

AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden

Die Sicherheitslücke in den Fritzboxen ist geschlossen, aber das ist für AVM noch nicht das Ende des Vorfalls. Im Interview mit Golem.de erklärt das Unternehmen, warum die Updates so schnell erschienen und wie solche Fehler in Zukunft vermieden werden sollen.

Artikel veröffentlicht am ,
Fritzbox-Modelle von AVM
Fritzbox-Modelle von AVM (Bild: Avm.de)

Über 80 Updates in zehn Tagen - das ist die Bilanz nach der Entdeckung einer Sicherheitslücke in beinahe allen Modellen des beliebten Routers Fritzbox. Natürlich sollten solche Fehler gar nicht erst entstehen, dass AVM sie so schnell ausgebessert hat, verdient aber Anerkennung. So meldeten sich auch auf der Cebit-Pressekonferenz von AVM mehrere Journalisten zu Wort, die dem Unternehmen ausdrücklich Lob aussprachen - in dieser Form ist das recht selten.

Inhalt:
  1. AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden
  2. Automatische und manuelle Tests sowie Fuzzing

Golem.de wollte es aber noch etwas genauer wissen und traf AVM-Sprecher Urban Bastert und den Produktmanager Jan Schöllhammer, der bei AVM für Security zuständig ist, zu einem ausführlichen Gespräch. Schöllhammer erklärte dabei zunächst, dass AVM die Geschichte der Lücke inzwischen nachvollziehen konnte: "Diese Schwachstelle steckt in einem von uns selbst entwickelten Teil der Software. Seitdem fanden dort zweimal Neuerungen statt, der Fehler fiel aber auch dabei nicht auf. Wir testen unsere Produkte nicht nur selbst, sondern auch mit vier externen Unternehmen."

Diese Sicherheitsdienstleister, so Schöllhammer weiter, bekommen von AVM umfangreiche Dokumentationen: "Wir freuen uns über jede Lücke, die so ein Unternehmen findet". Dazu weist der Routerhersteller die externen Firmen auch stets darauf hin, an welcher Stelle Änderungen stattfanden. Im Falle der Fritzbox-Lücke war der Bug aber alles andere als trivial: "Der war tief vergraben und schwer zu finden - sowohl für uns als auch für die externen Unternehmen und auch die Angreifer. Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat."

Für diese These spricht laut AVMs Security-Chef auch, dass die Lücke nicht für die Übernahme von Heimnetzen oder andere Dinge genutzt wurde, sondern sofort zu Geld gemacht werden sollte: "Die Auswertung über Mehrwertnummern ist ein relativ etablierter Weg, um Geld zu machen. Dahinter stecken kriminelle und organisierte Strukturen." Dass sich bisher bei AVM nur rund 80 von dem Telefonbetrug betroffene Kunden gemeldet haben, führt Schöllhammer auf die Mechanismen bei Providern zurück, die solche automatisierten Anwahlen auch automatisch erkennen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Automatische und manuelle Tests sowie Fuzzing 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 1.499€ (inkl. 100€ Cashback - Bestpreis!)
  2. (u. a. LG OLED55CX6LA 55-Zoll-OLED für 1.397,56€ (Bestpreis!), Asus XG438Q 43-Zoll-UHD-Monitor...
  3. Echo Dot für 58,48€, Echo Dot mit Uhr für 68,22€
  4. Echo für 97,47€, Echo + Philips Hue Lampe für 97,47€

kosst.amojan 29. Mär 2014

Hallo, vielleicht hast DU nur vergessen, die Ethernet-Ports auf 1Gbit zu stellen? Bei...

xmaniac 16. Mär 2014

...besteht darin das man jetzt bei einigen älteren Boxen außerhalb der Gewährleistung...

Moe479 15. Mär 2014

naja grundsätzlicher entzug und fein granulierte vergabe nur an stellen die es wirklich...

Anonymer Nutzer 13. Mär 2014

So einfach? Ich dachte es gibt einen "echten" Exploit... aber dass man über eine URL...

Yes!Yes!Yes! 13. Mär 2014

War mir erst gar nicht aufgefallen. :)


Folgen Sie uns
       


Samsung Galaxy Note 20 (Ultra) - Hands On

Die neuen Galaxy Note 20 und Galaxy Note 20 Ultra von Samsung kommen wieder mit dem S Pen.

Samsung Galaxy Note 20 (Ultra) - Hands On Video aufrufen
Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Star Trek Discovery: Harte Landung im 32. Jahrhundert
Star Trek Discovery
Harte Landung im 32. Jahrhundert

Die dritte Staffel von Star Trek: Discovery nutzt das offene Ende der Vorgängerstaffel. Sie verspricht Spannung - etwas weniger Pathos dürfte es aber sein.
Eine Rezension von Tobias Költzsch

  1. Star Trek Prodigy Captain Janeway spielt in Star-Trek-Cartoonserie mit
  2. Paramount Zukunft für Star-Trek-Filme ist ungewiss
  3. Streaming Star Trek Discovery kommt am 15. Oktober zurück

    •  /