Router: AVM schließt Sicherheitslücke in MyFritz-App

Über eine Lücke in der Fritzbox-App konnten Hacker den Router übernehmen. Laut AVM war das Risiko für einen möglichen Man-in-the-Middle-Angriff jedoch gering.

Artikel veröffentlicht am ,
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router.
Die Fritzbox-App ermöglichte Hackern einen Fernzugriff auf den Router. (Bild: itunes.apple.com/Screenshot: Golem.de)

Der Routerhersteller AVM hat seine Fritzbox-App für iOS und Android aktualisiert. Die neue Version biete "einen deutlich verbesserten Schutz gegen mögliche Man-in-the-Middle-Angriffe", teilte das Unternehmen in Berlin mit. Hintergrund des Updates war eine Sicherheitslücke, die einen Zugriff auf die Weboberfläche der Fernwartungsfunktion ermöglicht hätte, wie Heise-Netze berichtete. Laut AVM wäre ein solcher Angriff auf die Fritzbox "nur in wenigen Konstellationen möglich gewesen". Beispielsweise dann, wenn der Angreifer im selben WLAN wie der App-Anwender eingebucht gewesen wäre. Laut Heise war dies etwa bei Nutzung der MyFritz-App in einem öffentlichen Hotspot-Netz problemlos möglich.

Dem Bericht zufolge konnten sich Angreifer in den verschlüsselten Datenverkehr der Apps mit der Fritzbox einklinken, weil die Apps das ihnen vorgesetzte SSL-Zertifikat bislang nicht ausreichend überprüften. Dadurch habe sich die Session-ID abgreifen lassen, mit der man ohne Login auf die Webschnittstelle des Routers zugreifen könne. Diese ist bei aktiver MyFritz-Funktion zwangsläufig aktiv. Bei aktiver Session sei es möglich gewesen, einen neuen Benutzer anzulegen, der auch nach Ablauf der Sitzung auf den Router zugreifen könne. Das Mitschneiden oder Umleiten von Datenverkehr oder der Missbrauch des Telefonanschlusses wäre auf diese Weise möglich.

Certificate Pinning als Lösung

Heise informierte zunächst AVM über den Exploit, um dem Unternehmen die Möglichkeit für ein Schließen der Lücke zu geben. Gelöst werde das Problem nun durch Certificate Pinning: Die Apps speicherten nun beim ersten Verbindungsaufbau den Fingerprint des von der Fritzbox eingesetzten SSL-Zertifikats. Ändere sich dieser bei einem späteren Kontakt mit dem Router, beispielsweise durch einen Angriff, erscheine nun eine Warnmeldung. Sinnvoll sei daher, einen ersten Fingerprint im WLAN-Netz der eigenen Fritzbox anzulegen und möglicherweise vorhandene frühere Fingerprints zu löschen.

Dass solche Man-in-the-Middle-Angriffe über WLAN-Hotspots leicht möglich sind, hatte der Hack von Diensthandys des EU-Parlaments gezeigt. Im vergangenen Jahr war es einem unbekannten Hacker auf diese Weise gelungen, über Monate den E-Mail-Verkehr von EU-Parlamentariern und deren Mitarbeitern abzugreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?

GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
Ein Erfahrungsbericht von Tyler Glaiel

KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
Artikel
  1. Nachfolger von CS GO: Counter-Strike 2 ist geleakt
    Nachfolger von CS GO
    Counter-Strike 2 ist geleakt

    Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

  2. Hollywood-Autoren: KI soll Drehbücher schreiben dürfen
    Hollywood-Autoren
    KI soll Drehbücher schreiben dürfen

    Die Writers Guild of America hat vorgeschlagen, das Schreiben von Drehbüchern durch KI zuzulassen - solange dies keine Auswirkungen auf die Vergütung der Autoren hat.

  3. Code-Hoster: Github veröffentlicht privaten SSH-Schlüssel
    Code-Hoster
    Github veröffentlicht privaten SSH-Schlüssel

    Millionen von Entwicklern könnten bald MITM-Angriffen ausgesetzt sein, denn Github muss kurzfristig seinen SSH-Host-Key austauschen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Powercolor RX 7900 XTX 1.099€ • Crucial SSD 1TB/2TB (PS5) bis -48% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /