Abo
  • Services:
Anzeige
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router.
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de)

Router: AVM schließt Sicherheitslücke in MyFritz-App

Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router.
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de)

Über eine Lücke in der Fritzbox-App konnten Hacker den Router übernehmen. Laut AVM war das Risiko für einen möglichen Man-in-the-Middle-Angriff jedoch gering.

Der Routerhersteller AVM hat seine Fritzbox-App für iOS und Android aktualisiert. Die neue Version biete "einen deutlich verbesserten Schutz gegen mögliche Man-in-the-Middle-Angriffe", teilte das Unternehmen in Berlin mit. Hintergrund des Updates war eine Sicherheitslücke, die einen Zugriff auf die Weboberfläche der Fernwartungsfunktion ermöglicht hätte, wie Heise-Netze berichtete. Laut AVM wäre ein solcher Angriff auf die Fritzbox "nur in wenigen Konstellationen möglich gewesen". Beispielsweise dann, wenn der Angreifer im selben WLAN wie der App-Anwender eingebucht gewesen wäre. Laut Heise war dies etwa bei Nutzung der MyFritz-App in einem öffentlichen Hotspot-Netz problemlos möglich.

Anzeige

Dem Bericht zufolge konnten sich Angreifer in den verschlüsselten Datenverkehr der Apps mit der Fritzbox einklinken, weil die Apps das ihnen vorgesetzte SSL-Zertifikat bislang nicht ausreichend überprüften. Dadurch habe sich die Session-ID abgreifen lassen, mit der man ohne Login auf die Webschnittstelle des Routers zugreifen könne. Diese ist bei aktiver MyFritz-Funktion zwangsläufig aktiv. Bei aktiver Session sei es möglich gewesen, einen neuen Benutzer anzulegen, der auch nach Ablauf der Sitzung auf den Router zugreifen könne. Das Mitschneiden oder Umleiten von Datenverkehr oder der Missbrauch des Telefonanschlusses wäre auf diese Weise möglich.

Certificate Pinning als Lösung

Heise informierte zunächst AVM über den Exploit, um dem Unternehmen die Möglichkeit für ein Schließen der Lücke zu geben. Gelöst werde das Problem nun durch Certificate Pinning: Die Apps speicherten nun beim ersten Verbindungsaufbau den Fingerprint des von der Fritzbox eingesetzten SSL-Zertifikats. Ändere sich dieser bei einem späteren Kontakt mit dem Router, beispielsweise durch einen Angriff, erscheine nun eine Warnmeldung. Sinnvoll sei daher, einen ersten Fingerprint im WLAN-Netz der eigenen Fritzbox anzulegen und möglicherweise vorhandene frühere Fingerprints zu löschen.

Dass solche Man-in-the-Middle-Angriffe über WLAN-Hotspots leicht möglich sind, hatte der Hack von Diensthandys des EU-Parlaments gezeigt. Im vergangenen Jahr war es einem unbekannten Hacker auf diese Weise gelungen, über Monate den E-Mail-Verkehr von EU-Parlamentariern und deren Mitarbeitern abzugreifen.


eye home zur Startseite
Jasmin26 22. Aug 2014

Die Überschrift ist korrekt, da die App Bestandteil der Fernwartung ist. Aber sowas...

g0r3 21. Aug 2014

.... nur nicht so hässlich wäre...



Anzeige

Stellenmarkt
  1. A. Menarini Research & Business Service GmbH, Berlin
  2. Automotive Safety Technologies GmbH, Weissach
  3. PBM Personal Business Machine AG, Köln
  4. Fresenius Medical Care Deutschland GmbH, Schweinfurt


Anzeige
Top-Angebote
  1. 29€
  2. 184,90€ inkl. Rabatt (Bestpreis!)
  3. (u. a. LG 55EG9A7V für 899€, LG OLED65B7D für 2.249€ und Logitech G703 für 69€)

Folgen Sie uns
       


  1. HMD Global

    Drei neue Nokia-Smartphones laufen mit Android One

  2. Nokia 1 im Hands On

    Android-Go-Smartphone mit Xpress-On-Covern kostet 100 Euro

  3. Nokia 8110 4G im Hands On

    Das legendäre Matrix-Handy kehrt zurück

  4. Galaxy S9 und S9+ im Hands On

    Samsungs neue Smartphones kommen mit variabler Blende

  5. Energizer P16K Pro

    Seltsames Smartphone mit 60-Wh-Riesenakku

  6. Matebook X Pro im Hands on

    Huaweis Notebook kommt mit Nvidia-Grafikkarte

  7. Apple

    iTunes Store sperrt alte Geräte und Betriebssysteme aus

  8. Alcatel 1T

    Oreo-Tablet mit 7-Zoll-Display kostet 70 Euro

  9. Notebook und Tablets

    Huawei stellt neues Matebook und Mediapads vor

  10. V30S Thinq

    LG zeigt sein erstes Thinq-Smartphone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Irgendwie fehlen mir grade die interessanten...

    Furi | 02:45

  2. Re: 11 Jahre Support ...

    ChMu | 02:01

  3. Re: BANAAAAANAAAAA!

    User_x | 01:50

  4. Re: 18,5 : 9

    Prinzeumel | 01:49

  5. Re: Das sagt eine Schlange auch

    teenriot* | 01:38


  1. 22:11

  2. 20:17

  3. 19:48

  4. 18:00

  5. 17:15

  6. 16:41

  7. 15:30

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel