Abo
  • Services:
Anzeige
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router.
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de)

Router: AVM schließt Sicherheitslücke in MyFritz-App

Über eine Lücke in der Fritzbox-App konnten Hacker den Router übernehmen. Laut AVM war das Risiko für einen möglichen Man-in-the-Middle-Angriff jedoch gering.

Anzeige

Der Routerhersteller AVM hat seine Fritzbox-App für iOS und Android aktualisiert. Die neue Version biete "einen deutlich verbesserten Schutz gegen mögliche Man-in-the-Middle-Angriffe", teilte das Unternehmen in Berlin mit. Hintergrund des Updates war eine Sicherheitslücke, die einen Zugriff auf die Weboberfläche der Fernwartungsfunktion ermöglicht hätte, wie Heise-Netze berichtete. Laut AVM wäre ein solcher Angriff auf die Fritzbox "nur in wenigen Konstellationen möglich gewesen". Beispielsweise dann, wenn der Angreifer im selben WLAN wie der App-Anwender eingebucht gewesen wäre. Laut Heise war dies etwa bei Nutzung der MyFritz-App in einem öffentlichen Hotspot-Netz problemlos möglich.

Dem Bericht zufolge konnten sich Angreifer in den verschlüsselten Datenverkehr der Apps mit der Fritzbox einklinken, weil die Apps das ihnen vorgesetzte SSL-Zertifikat bislang nicht ausreichend überprüften. Dadurch habe sich die Session-ID abgreifen lassen, mit der man ohne Login auf die Webschnittstelle des Routers zugreifen könne. Diese ist bei aktiver MyFritz-Funktion zwangsläufig aktiv. Bei aktiver Session sei es möglich gewesen, einen neuen Benutzer anzulegen, der auch nach Ablauf der Sitzung auf den Router zugreifen könne. Das Mitschneiden oder Umleiten von Datenverkehr oder der Missbrauch des Telefonanschlusses wäre auf diese Weise möglich.

Certificate Pinning als Lösung

Heise informierte zunächst AVM über den Exploit, um dem Unternehmen die Möglichkeit für ein Schließen der Lücke zu geben. Gelöst werde das Problem nun durch Certificate Pinning: Die Apps speicherten nun beim ersten Verbindungsaufbau den Fingerprint des von der Fritzbox eingesetzten SSL-Zertifikats. Ändere sich dieser bei einem späteren Kontakt mit dem Router, beispielsweise durch einen Angriff, erscheine nun eine Warnmeldung. Sinnvoll sei daher, einen ersten Fingerprint im WLAN-Netz der eigenen Fritzbox anzulegen und möglicherweise vorhandene frühere Fingerprints zu löschen.

Dass solche Man-in-the-Middle-Angriffe über WLAN-Hotspots leicht möglich sind, hatte der Hack von Diensthandys des EU-Parlaments gezeigt. Im vergangenen Jahr war es einem unbekannten Hacker auf diese Weise gelungen, über Monate den E-Mail-Verkehr von EU-Parlamentariern und deren Mitarbeitern abzugreifen.


eye home zur Startseite
Jasmin26 22. Aug 2014

Die Überschrift ist korrekt, da die App Bestandteil der Fernwartung ist. Aber sowas...

g0r3 21. Aug 2014

.... nur nicht so hässlich wäre...



Anzeige

Stellenmarkt
  1. Deutsche Telekom Technik GmbH, verschiedene Standorte
  2. über Nash Direct GmbH, München/Ismaning
  3. Dürr IT Service GmbH, Bietigheim-Bissingen
  4. item Industrietechnik GmbH, Solingen


Anzeige
Spiele-Angebote
  1. ab 129,99€
  2. 2,99€
  3. ab 59,00€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Schulden

    Toshiba-Partner und Geldgeber wollen Insolvenzverfahren

  2. Sysadmin Day 2017

    Zum Admin-Sein fehlen mir die Superkräfte!

  3. Ipod Touch günstiger

    iPod Nano und iPod Shuffle eingestellt

  4. Nissan Leaf

    Geringer Reichweitenverlust durch alternden Akku

  5. Quartalsbericht

    Amazons Gewinn bricht ein

  6. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  7. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  8. Q6

    LGs reduziertes G6 kostet 350 Euro

  9. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  10. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

  1. Re: Wieso fällt der Gewinn bei hohen Investionen?

    smarty79 | 10:35

  2. Ich habe in den Spiegel geschaut

    Juge | 10:35

  3. Re: Hätte er halt mal was ordentliches gelernt

    red creep | 10:35

  4. Mehr Ausbildung als notwendig

    Annabett93 | 10:33

  5. Re: iPod Touch ist kein Ersatz

    Citadelle | 10:33


  1. 10:41

  2. 09:04

  3. 07:23

  4. 07:13

  5. 22:47

  6. 18:56

  7. 17:35

  8. 16:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel