Abo
  • Services:
Anzeige
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router.
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de)

Router: AVM schließt Sicherheitslücke in MyFritz-App

Über eine Lücke in der Fritzbox-App konnten Hacker den Router übernehmen. Laut AVM war das Risiko für einen möglichen Man-in-the-Middle-Angriff jedoch gering.

Anzeige

Der Routerhersteller AVM hat seine Fritzbox-App für iOS und Android aktualisiert. Die neue Version biete "einen deutlich verbesserten Schutz gegen mögliche Man-in-the-Middle-Angriffe", teilte das Unternehmen in Berlin mit. Hintergrund des Updates war eine Sicherheitslücke, die einen Zugriff auf die Weboberfläche der Fernwartungsfunktion ermöglicht hätte, wie Heise-Netze berichtete. Laut AVM wäre ein solcher Angriff auf die Fritzbox "nur in wenigen Konstellationen möglich gewesen". Beispielsweise dann, wenn der Angreifer im selben WLAN wie der App-Anwender eingebucht gewesen wäre. Laut Heise war dies etwa bei Nutzung der MyFritz-App in einem öffentlichen Hotspot-Netz problemlos möglich.

Dem Bericht zufolge konnten sich Angreifer in den verschlüsselten Datenverkehr der Apps mit der Fritzbox einklinken, weil die Apps das ihnen vorgesetzte SSL-Zertifikat bislang nicht ausreichend überprüften. Dadurch habe sich die Session-ID abgreifen lassen, mit der man ohne Login auf die Webschnittstelle des Routers zugreifen könne. Diese ist bei aktiver MyFritz-Funktion zwangsläufig aktiv. Bei aktiver Session sei es möglich gewesen, einen neuen Benutzer anzulegen, der auch nach Ablauf der Sitzung auf den Router zugreifen könne. Das Mitschneiden oder Umleiten von Datenverkehr oder der Missbrauch des Telefonanschlusses wäre auf diese Weise möglich.

Certificate Pinning als Lösung

Heise informierte zunächst AVM über den Exploit, um dem Unternehmen die Möglichkeit für ein Schließen der Lücke zu geben. Gelöst werde das Problem nun durch Certificate Pinning: Die Apps speicherten nun beim ersten Verbindungsaufbau den Fingerprint des von der Fritzbox eingesetzten SSL-Zertifikats. Ändere sich dieser bei einem späteren Kontakt mit dem Router, beispielsweise durch einen Angriff, erscheine nun eine Warnmeldung. Sinnvoll sei daher, einen ersten Fingerprint im WLAN-Netz der eigenen Fritzbox anzulegen und möglicherweise vorhandene frühere Fingerprints zu löschen.

Dass solche Man-in-the-Middle-Angriffe über WLAN-Hotspots leicht möglich sind, hatte der Hack von Diensthandys des EU-Parlaments gezeigt. Im vergangenen Jahr war es einem unbekannten Hacker auf diese Weise gelungen, über Monate den E-Mail-Verkehr von EU-Parlamentariern und deren Mitarbeitern abzugreifen.


eye home zur Startseite
Jasmin26 22. Aug 2014

Die Überschrift ist korrekt, da die App Bestandteil der Fernwartung ist. Aber sowas...

g0r3 21. Aug 2014

.... nur nicht so hässlich wäre...



Anzeige

Stellenmarkt
  1. ETAS GmbH & Co. KG, Stuttgart
  2. Heinzmann GmbH & Co. KG, Schönau
  3. über Staff Gmbh, München (Home-Office möglich)
  4. Vorwerk & Co. KG, Düsseldorf


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 8,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Deep Learning

    Wenn die KI besser prügelt als Menschen

  2. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  3. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  4. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  5. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  6. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  7. Trappist-1

    Der Zwerg und die sieben Planeten

  8. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt

  9. Server

    IBM stellt Komplettsystem für kleine Unternehmen vor

  10. Einspeisegebühr

    Netzbetreiber darf nicht nur einzelne Sender abkassieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: Switch

    redwolf | 17:05

  2. Re: WTF ist ein CPU-Jahr?

    stq66 | 17:03

  3. Re: Nur Bildungsneutrales Personal bei PayPal?

    fabigol | 17:03

  4. Re: Microsoft Treiber Zertifikate und weiteres...

    Tux-Coder | 17:01

  5. Re: 2,5" SSD

    chewbacca0815 | 17:01


  1. 16:41

  2. 16:28

  3. 15:45

  4. 15:26

  5. 15:13

  6. 15:04

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel