Netzwerk: TP-Link-Router senden noch immer ungefragt Daten an Avira

Wie es scheint, senden einige neuere TP-Link-Router noch immer ungefragt Daten zum Geschäftspartner Avira. Das hat Reddit-Mitglied ArmoredCavalry herausgefunden (via Winfuture). Der eigene TP-Link Archer AX55 mit Wi-Fi 6 sendet mehr als 80.000 Anfragen an die Domain safethings.avira.com - innerhalb von 24 Stunden. Das seien weit mehr Anfragen als von jedem anderen Dienst.

Die Domain wird mit dem Avira-Produkt Home Shield in Verbindung gebracht, das im August 2020 von beiden Unternehmen präsentiert wurde und diverse Sensoren, Geräte und Clients im Heimnetz vor externen Bedrohungen schützen soll. Das Problem: ArmoredCavalry hat alle damit verbundenen Dienste abgeschaltet. Trotzdem werden Daten an Avira gesendet. Es ist wahrscheinlich, dass darin auch IP-Adressen der Sender enthalten sind, also im Sinne der DSGVO personenbezogene Daten.

DNS-Block führt zu Anfrageschleife

Teile der Reddit-Community haben versucht, die Avira-DNS-Anfragen zu blocken. Allerdings scheint der Router dann nicht mehr zu funktionieren und steckt in einer Schleife fest. Dabei werden nicht nur viele Daten ungefragt an Dritte gesendet, sondern auch die Netzwerkleistung durch die gestiegene Sende- und Empfangslast generell beeinflusst.

Interessanterweise soll TP-Link bereits vor einiger Zeit versprochen haben, durch ein Firmware-Update ein solches Verhalten zu unterbinden. Dies ist nämlich dem Magazin XDA-Developers beim Test des TP-Link Deco X68 aufgefallen, das sich direkt an den Hersteller wandte. "Die Avira-Cloud-Datenbank unterscheidet, ob die Netzwerkanfrage sicher ist oder als Malware eingestuft wird", lautete die damalige Begründung des Herstellers. Das System scheint also einen Großteil des eigenen Traffics zu analysieren. Offensichtlich ist ein entsprechendes Firmware-Update noch immer nicht gekommen.