Abo
  • Services:
Anzeige
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router.
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de)

Router: AVM schließt Sicherheitslücke in MyFritz-App

Über eine Lücke in der Fritzbox-App konnten Hacker den Router übernehmen. Laut AVM war das Risiko für einen möglichen Man-in-the-Middle-Angriff jedoch gering.

Anzeige

Der Routerhersteller AVM hat seine Fritzbox-App für iOS und Android aktualisiert. Die neue Version biete "einen deutlich verbesserten Schutz gegen mögliche Man-in-the-Middle-Angriffe", teilte das Unternehmen in Berlin mit. Hintergrund des Updates war eine Sicherheitslücke, die einen Zugriff auf die Weboberfläche der Fernwartungsfunktion ermöglicht hätte, wie Heise-Netze berichtete. Laut AVM wäre ein solcher Angriff auf die Fritzbox "nur in wenigen Konstellationen möglich gewesen". Beispielsweise dann, wenn der Angreifer im selben WLAN wie der App-Anwender eingebucht gewesen wäre. Laut Heise war dies etwa bei Nutzung der MyFritz-App in einem öffentlichen Hotspot-Netz problemlos möglich.

Dem Bericht zufolge konnten sich Angreifer in den verschlüsselten Datenverkehr der Apps mit der Fritzbox einklinken, weil die Apps das ihnen vorgesetzte SSL-Zertifikat bislang nicht ausreichend überprüften. Dadurch habe sich die Session-ID abgreifen lassen, mit der man ohne Login auf die Webschnittstelle des Routers zugreifen könne. Diese ist bei aktiver MyFritz-Funktion zwangsläufig aktiv. Bei aktiver Session sei es möglich gewesen, einen neuen Benutzer anzulegen, der auch nach Ablauf der Sitzung auf den Router zugreifen könne. Das Mitschneiden oder Umleiten von Datenverkehr oder der Missbrauch des Telefonanschlusses wäre auf diese Weise möglich.

Certificate Pinning als Lösung

Heise informierte zunächst AVM über den Exploit, um dem Unternehmen die Möglichkeit für ein Schließen der Lücke zu geben. Gelöst werde das Problem nun durch Certificate Pinning: Die Apps speicherten nun beim ersten Verbindungsaufbau den Fingerprint des von der Fritzbox eingesetzten SSL-Zertifikats. Ändere sich dieser bei einem späteren Kontakt mit dem Router, beispielsweise durch einen Angriff, erscheine nun eine Warnmeldung. Sinnvoll sei daher, einen ersten Fingerprint im WLAN-Netz der eigenen Fritzbox anzulegen und möglicherweise vorhandene frühere Fingerprints zu löschen.

Dass solche Man-in-the-Middle-Angriffe über WLAN-Hotspots leicht möglich sind, hatte der Hack von Diensthandys des EU-Parlaments gezeigt. Im vergangenen Jahr war es einem unbekannten Hacker auf diese Weise gelungen, über Monate den E-Mail-Verkehr von EU-Parlamentariern und deren Mitarbeitern abzugreifen.


eye home zur Startseite
Jasmin26 22. Aug 2014

Die Überschrift ist korrekt, da die App Bestandteil der Fernwartung ist. Aber sowas...

g0r3 21. Aug 2014

.... nur nicht so hässlich wäre...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. LEDVANCE GmbH, Garching bei München
  3. ProCom GmbH, Aachen
  4. Oetker Digital GmbH, Berlin


Anzeige
Top-Angebote
  1. 5,99€
  2. 249,90€
  3. 139,90€

Folgen Sie uns
       


  1. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  2. Matebook X

    Huawei stellt erstes Notebook vor

  3. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  4. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  5. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  6. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  7. Squad

    Valve heuert Entwickler des Kerbal Space Program an

  8. James Gosling

    Java-Erfinder wechselt zu Amazon Web Services

  9. Calliope Mini im Test

    Neuland lernt programmieren

  10. Fernwartung

    Microsoft kämpft weiter gegen Support-Betrüger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. Re: Schön, aber ...

    x-beliebig | 14:44

  2. Re: Melkmaschine

    SmilingStar | 14:43

  3. Re: Schade ...

    Tantalus | 14:43

  4. Re: Keine Gedanken zur Jahreszeit?

    RickRickdiculou... | 14:43

  5. Re: Java

    Trollversteher | 14:42


  1. 14:59

  2. 14:30

  3. 14:20

  4. 13:36

  5. 13:20

  6. 12:58

  7. 12:47

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel