AVM-Router: Sicherheits-Problem größer als gedacht

Seit letzter Woche ist bekannt, dass AVM-Router von einem Sicherheitsproblem betroffen sind. Bisher galten nur Nutzer mit aktiviertem Fernzugriff als gefährdet. Eine neue Analyse zeigt: Alle Fritzboxen sind betroffen. mehr... Router, Avm, Fritzbox Bildquelle: AVM Router, Avm, Fritzbox Router, Avm, Fritzbox AVM

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Lösung ganz einfach: Update <--- Jeder Router hängt doch zu 100% eh im Internet? Wieso ist es da so schwer ein 5Minuten dauerndes Update einzuspielen? Man braucht ja nur den Update Knopf im Webinterface zu drücken.
 
@BartVCD: weil es auch sicher viele leute gibt die laien sind und gar nicht wissen, dass man sowas machen kann. die sind zufrieden wenn alles läuft... quasi anschließen und fertig.. so wie es früher auch war bevor router mit vielen zusatz optionen kamen...
 
@scary674: Die meisten wissen nicht mal, dass, geschweige denn wie man auf die Fritzbox zugreifen kann. Webinterface/IP: Unbekannt.
 
@scary674: hae? frueher war es doch viel schweerer. Modem rein, Zugangsdaten am PC eingeben und eine PPPoE verbindung herstellen. Heute macht der Router fast alles alleine. xD
 
@StefanB20: Finde ich nicht. Früher: RJ11 in den PC, AOL CD einlegen, automatisch installieren und surfen. HEUTE: TAE -> Splitter -> (Modem) -> (Modem)Router verkabeln; Netzwerkkarte evtl vorbereiten (DHCP, WLAN auswählen), falls kein WPS -> WPA Passwort eingeben. Auf dem Router einloggen, Zugangsdaten eingeben. -- Für viele hört da schon das "Verständnis" auf. Dann soll der geneigte Nutzer in der FritzBox das erweiterte Systemmenü noch Firmwareupdate finden und drücken.
@slavko: Naja die 7390 hatte bekanntlich oft Probleme mit FEC Stürmen mit Infinion DSLAMs. So "angepasst" sind die nicht, erst ein Speedport als Modem und dahinter die Fritte brachte oft Abhilfe.
 
@Freedom: Okay. Der weg ist etwas komplizierter zum Teil. Wird ja nun dank IP Anschluessen etwas vereinfacht. Bei Fritzbox kann s sein, dass sie komplizizierter sind, Speedports sind da etwas einfach > WLAN PW hinten drauf, AutoKonfig starten.. fertig. ^^ finde eh.. dass sich leute eher eine Fritzbox holen sollten, WENN sie wenigstens etwas Verstaendnis mitbringen und auch verstehen wollen.
 
@BartVCD: Es gibt auch z.b. Nutzer der 7330. Die Box wird nach dem Update unbedienbar...
 
@sebastian2: meine läuft noch immer einwandfrei.
das Problem bei den meisten Leuten wird eher sein, dass die nicht wissen, wie man das Webinterface aufruft und wo das Passwort dazu steht erst recht nicht.
 
@sebastian2: "unbedienbar"? Warum? Bei mir hat das Update ohne Probleme funktioniert und ich kann so wie immer im Web-Interface mit meiner Box arbeiten.
 
@Superia: Schön für dich.Bei mir ost doe startseite und andere der fritzboxy. nun arschlahm. übrigens schon bei dem update davor,

Und mit dem Problem stgehe ich auch nicht alleine da.
 
@sebastian2: Tja, dumm geläuft. Habe die 7270 besessen und jetzt die 7390. Alles Premiummodelle von AVM. Bis jetzt haben die sich nicht ein mal die Blöße gegeben. Deswegen aber zu schließen, das AVM immer die besten sind oder halt in Deinem Fall anders rum, ist einfach dumm. Fakt ist das AVM jetzt schon seit zwei Jahrzehnten gute und für den deutschen Markt super angepasste Geräte liefert. Ich habe lange gesucht und habe einfach nix besseres gefunden. Bekuckt man sich auch noch mal die Preis/Leistung, sind die eh ungeschlagen.
 
@slavko: Die AVM-Geräte sind von den Funktionen her super und ich wil meine Fritz!Box nicht missen, aber wenn man ehrlich ist muss man zugeben, dass das verbaute DSL-Modem nichts taugt. Auch gibt es ziemlich oft Ausfälle einzelner Komponenten (DECT, Print-Server ...) und der Kundendienst ist nicht sonderlich kulant.
 
@BartVCD: Hab ich die letzten Jahre immer gemacht: Gab nie eines - bis jetzt :D Wird bei vielen Fritzboxen ähnlich sein. Find ich gut von AVM, habs gleich nach diesem Hinweis aufgespielt. In den Patchnotes wird das Sicherheitsproblem auch als behoben aufgeführt.
 
@BartVCD: Naja ich hab oft erlebt das ein Update (Ich spreche hier nur von AVM Hardware) Fehlschlägt und viele in meinen Freundesumkreis nicht wissen wie recovery update funktioniert. Einige haben nicht mal ein Ersatz Router um damit ins Netz zu gehen. Selbst ich habe das einige male erlebt das mein AVM Router nach dem Update tot ist. Ich kenne im Gegensatz zu einem Großteil anderer in meinen Freundesumkreis wie man das behebt.
 
@Menschenhasser: möchte mal wissen, wie ihr Updates einspielt... also ich hab schon einige durchgemacht und noch keines ist davon schief gelaufen... ;) Wenn update fertig, dann Internetverbindung automatisch wieder da und in der Zeit nicht vom Strom nehmen - steht doch alles da...
 
@chippimp: Wie bitte? Nach Anleitung Witzbold. Dieses 'aber bei mir noch nie' kannst du dir schenken davon habe ich und auch andere nicht viel.
 
@BartVCD: Weil nicht jede Fritzbox die Updatefunktion aktiv hat. Kunden der Kabelnetzbetreiber müssen z.B. darauf warten das dieser das Update einspielt
 
@MarcelP: In der Tat, auf meiner FrizBox 6360 Cable hat Netcologne zum Glück am 12.04 Das Update auf FrizOS v06.04 ausgerollt. Spannenderweise ist das neuer als das was AVM auf seiner Homepage schreibt, da reden die von v06.03.
Ich hoffe mal das damit auch die ganze Lücke geschlossen ist
 
@cathal: Am 12.02. war das. Eines muß man NetCologne lassen, in sowas sind sie wirklich fix und wie du schon sgtest gibts immer eine neuere Software als die, die AVM offiziell anbietet. An Betatest kann man auch teilnehmen. Schade das sie ihr Forum dicht gemacht haben (nur noch read only) FB sei Dank.
 
@BartVCD: weil es provider gibt, bei denen es nicht mal updates gibt. manche fbs sind auch gebrandet....
 
@BartVCD: Ich weiss nicht warum du dafür Minus bekommst. Wenn man sich ein Produkt kauft, egal welches, sollte man sich damit befassen... man sollte wenigstens wissen wie man ein Update macht. Das ist doch nicht zu viel verlangt und bei den Fritzboxen kinderleicht. Und wenn man es nicht kann, dann bittet man eben um Hilfe bei der Familie oder ruft beim Support an. Wer sich zu Schade ist sich mit dem Produkt auseinander zu setzen und kein Interesse hat, und dann betroffen ist, der ist selbst Schuld.
 
@w4n: Das ist aber leider so in der Welt des Mainstreams keiner kennt sich mit seiner Hardware aus.
 
@w4n: Halte ich für eine äußerst arrogante Haltung.
 
@nablaquabla: Warum? Er hat Recht!
 
@nablaquabla: wenn ich mir was Technisches kaufe, dann ist doch das Mindeste, daß ich mich im Ansatz mal mit der Bedienungsanleitung befasse. Was ist daran arrogant? Oder sind's alles Analphabeten?
 
@ott598487: Ich kenne genug Leute die nicht auf Tech Seiten rumlesen und Ihr Internet nicht so Intensiv nutzen so das die kaum Chance haben überhaupt zu wissen das eine FritzBox besser upgedatet wird. Geschweige denn, das Sie eine FritzBox haben.
 
@MrRossi: Aber auch solche Leute haben doch in der Regel technisch erfahrenere Freunde, Verwandte etc. Und wenn ich wüsste, dass jemand in meinem Umfeld eine FritzBox hat und sich nicht so gut mit "Computern und so" auskennt, hätte ich ihn auf die Lücke aufmerksam gemacht und ihm beim Einspielen des Updates geholfen.
 
@MrRossi: Das Entscheidende ist vor allem daß für die meisten Leute ein Router reine Hardware ist und sie sich überhaupt nicht vorstellen können daß man dafür auch die Firmware updaten kann.
 
Wenn der letzte Absatz so stimmt, was kann der Hersteller generell dafür, dass der Anwender kein Updates aufspielt. Sogar ein vor drei Jahren sicheres Gerät/Software ist heute nicht mehr sicher.
 
@femmison2002: Weil ich das ausgesprochen ungeschickt gelöst finde. ;) Es gibt zwar dieses Webinterface, nur 1)standardmäßig ist bei der Fritzbox die Fernwartung durch 1&1 aktiviert und irgendwo steht das auch in den 1&1 Vertragsbedingungen, vielleicht ist es mir entgangen oder es geht gar nicht, aber macht 1&1 das mittels Fernwartung? Eher nicht, nehme ich an. (btw, ich bekomme ja auch laufend irgendwelche 1&1 mails über irgendwelche Spendenaktionen) 2)Ich habe gerade mal nachgesehen, neben den 5 LEDs die meine Fritzbox eh schon hat, kann man diese Info-LED auch nicht so einstellen das Updates angezeigt werden. Des weiteren, wenn ich am System nichts verändere, muss man sich bei Windows, zumindest was das OS selber betrifft, ja auch nicht um Updates kümmern. Hinzu kommen noch die Punkte a)Es wird viele geben, wo irgendjemand den Router einrichtet, b)Man bekommt von 1&1 einen Zettel mit einem Startcode, gibt den ein und das Ding läuft, man muss eigentlich gar nicht auf die Weboberfläche. Nein, ich empfinde das von Seiten des Routerherstellers, und auch vom ISP, stark verbesserungsfähig, das nur auf den Kunden abzuwälzen ist zu einfach.
 
@Lastwebpage: Also bei mir hat 1&1 das Update eingespielt. Normalerweise hab ich das aus, aber da ich letztens einen neuen Router bekommen habe, war es noch aktiv.
 
@Lastwebpage: ich bin bei 1&1 spiele meine updates selber ein, hab auch keine fritzbox mehr von 1&1 da den ihre der blitz vor 2 jahren geholt hat. hab mir dann selber eine gekauft (7270) und das geld von der versicherung kassiert!
 
Also hat AVM die Lücke auch geschlossen, nur nicht nach außen kommuniziert?
 
@iWindroid8: Ja und ist ja auch verständlich, gleiches Prinzip warum Microsoft erst Infos nach dem patchday rausrückt, um Trittbrettfahrer fernzuhalten.
 
@Suchiman: AVM hält sich aber weiterhin bedeckt: http://www.avm.de/de/News/artikel/2014/sicherheits-update_fuer_fritzbox.html?linkident=kurznotiert Es gibt keine Bestätigung, dass alles gefixt ist.
 
@iWindroid8: "ALLES" wird nie gefixt sein. ;o)
 
@iWindroid8: Weil sich Windows-Updates wesentlich schneller verbreiten als Router-Updates. Somit haben noch sehr viele FritzBox-User kein Update eingespielt mangels Wissen, KnowHow etc. Daher hält sich AVM mit Details zur Lücke weiter bedeckt.
 
@iWindroid8: Ja irgendwie schon, Updates wurden angekündigt und für die Premiummodelle ausgerollt, die anderen Geräte durften 2-3 Tage warten , die Sicherheitslücke wurde geschlossen und hat nichts mit dem Fernzugriff zu tun. Bei mir hat das automatische Update nicht funktioniert, da wurde behauptet meine Fritz!Box wär auf dem neusten Stand (die Versionsnummer ist und war 6.03, die haben die Versionsnummer zwei mal gleich vergeben, nur die Builtnummer unterscheidet sich). Ich musste mir das Image runterladen und manuell flashen und hatte daher mein Update erst eine Woche nach erscheinen. Gestern wurde von Heise via WDR noch mal gewarnt und da war das Update 8 - 11 Tage draußen. Wer kein TV guckt und keine Zeitung liest (ja, auch die Tageszeitungen haben darüber berichtet) weiß nichts von dem Problem, und auch JA, wenn man nur auf AVM hört denkt man man bräuchte das Update nicht, wenn man keinen Fernzugriff aktiviert hat.
 
Tja, nun sitze ich hier mit meiner "FritzBox Cable" von KD und hoffe und warte auf ein Update, denn selbst kann ich keins herunterladen. Das ist zu 100% in der Hand von KD ob und wann ich eins bekomme.

Von meinen Bekannten wäre übrigens niemand, absolut Null Personen in der Lage ein Update auf dem Router zu starten. "Da hängt irgendwo ein Kasten an der Wand und da steht auf der Unterseite das Kennwort für meinen Computer..." So oder ähnlich ist der Kenntnisstand... Wenn da nicht von Seiten des Providers, wie z.B. 1&1 etwas unternommen wird, dann wird sich dort nichts von alleine ändern...
 
@Skystar: wenn du vor deiner Kabel Deutschland Fritz Box sitzt kannst du das warten einstellen. Die haben das Update am 12.02. bekommen. Hauptsache erst mal schimpfen.
 
@balini: Schimpfen? Wieso schimpfen? Ich stelle lediglich fest, dass ich selbst nichts machen kann und entsprechend nur hoffen kann...
 
@Skystar: bei den KD boxen hat sich was getan ... fritz os 6.04 sagt meine ;) .
 
@lazsniper2: Das hört sich erstmal gut an.
Da ich ja, wie gesagt, gar keine Möglichkeit zum "selbstupdate" habe, weiß ich noch nicht einmal, welche Version gerade aktiv ist...
Ich stelle aber fest, dass ich derzeit gewaltige Probleme beim Upload verschiedenster Art habe. Email-Anhänge gehen nicht raus, FTP Upload schläft ein usw.
Hab schon zig mal den Stecker rausgezogen und die Box einige Monuten Stromlos gelassen...
 
@Skystar: kann ich nicht bestätigen, upload hier bei konstant 6,1 mbit . komisch !
 
@Skystar: Das Gerät einmal neustarten bitte ;)
 
@Skystar: meine hat das update auch letzte woche bekommen
 
@Skystar: Für die Fritzen von 1&1 kannst du dir das Update direkt von AVM runterladen. Da brauchst du nicht auf den Provider warten!
 
ganz schön schwach von AVM nach dem Update so sparsam mit Information rüberzukommen! Wenn Anmeldedaten vom Provider ausgelesen werden konnten kann ja praktisch jeder im Namen des Fritzbox Nutzers on gehen und Unfug/Betrug loslassen? Mus man jetzt neue Zugangsdaten vom Provider anfordern um nicht für den Mist anderer haftbar gemacht zu werden?? Bitte mal Auskunft AVM!!!
 
@LaBeliby: Von einer anderen Seite (dpa-Pressemeldung): "Ein AVM-Sprecher wollte den Bericht offiziell nicht kommentieren. "Wir sind von der Polizei gebeten worden, keine weiteren Informationen herauszugeben", sagte er."
 
@LaBeliby: Bei 1&1 kann man sein Internetpasswort selber ändern und das habe ich auch getan!
 
@heidenf: sicher kann man sein Passwort meist selber ändern aber was nutzt das wenn man die Festnetznummer für den Zugang nicht ändern kann? Fremde die sich Zugang verschaffen können jederzeit das neue passwort auslesen bzw.auch selbst umändern!
 
@LaBeliby: Es geht doch darum, dass Fremde sich VOR dem Fritzbox Update bereits einen Zugang verschaft haben. Im Übrigen kann man bei 1&1 auch seine Rufnummern online ändern, wenn man Voip hat.
 
Webseite sagt, gibt nen Update für meine 7570, aber fritzbox sagt nein...
 
@Fritzler: Ist es ne Box von Unity/KD? Dann machen die nämlich das Update, nicht AVM
 
@Slurp: gefritzter speedport920, also original AVM Firmware v4.91, laut avm ist die neuste v4.92
 
@Fritzler: dann lad sie doch manuell drauf ftp.avm.de
 
@Fritzler: Gefritzt != original.
 
@starship: Hab eine originale 7570 und trotzdem kein Update. Tja die 7570 war eben die größte Kundenverarsche von AVM
 
Manuel draufladen klappt, wenn du die internationale Firmwareversion hast und nicht die deutsche.
 
Ich habe einen Vorschlag. Einen Knopf vorne am Router anbringen mit der Bezeichnung "Update".
 
@olmos: Meine Fritzbox liegt zusammen mit Switch, NAS und Telefonbuchse unter einem Schrank im Flur, weil ich nicht will dass das alles lose herum liegt. Da viele Leute ihre Hardware absichtlich "verstecken" bringt so eine Lampe kaum etwas (erst recht nicht denen, die keine Ahnung haben wie man einen Router konfiguriert - die haben dann noch eher Bedenken dass was kaputt ist)
 
Leider ist es so, das AVM die Modelle nicht ewig pflegt. Ich habe noch die 7270 v1 und die hat seit Jahren kein Update mehr gesehen.

Das letzte Update war jetzt die Lücke und auch nur diese.
 
@RiKER: is klar. Avm supported ihre Modelle sehr lange. Was seh ich da für andere Plastik Router teile die nie so etwas wie ein Firmware update erhalten weil es einfach mal auf dem markt geworfen wurde und fertig.
 
@balini: Ich habe mir jetzt Deinen Beitrag dreimal durchgelesen. Ich kapiere immer noch nicht, was Du sagen willst.
 
@Michael41a: Also ich habe es beim ersten Mal verstanden: AVM supported ihre Produkte wesentlich länger als die meisten anderen Router-Hersteller, bei denen es oft nie ein Update gibt.
 
@RiKER: da ist es doch: http://www.ip-phone-forum.de/showthread.php?t=267560
 
Wenn ich im Artikel lese >die Lösung ist das einfach:update< so könnte ich brechen. Die ganze Sache ist weitaus komplexer als ein billiges Update. Am Avm Beispiel sieht man wirklich gut wie es wenn wirklich aussieht. Ich möchte hier nicht Avm an den Pranger stellen. Ähnliche Schwachstellen wurde ja auch im Januar bei anderen Herstellern publik. Aber es zeigt ganz klar eins. Wie leicht es doch eigentlich für NSA und Co ist unsere Systeme zu infiltrieren. Bestelle ich meine Rechner online bekomme ich diesen noch mit ein paar NSA Platinen bestückt zugeschickt. Rufe ich Yahoo auf erhalte ich eine 1:1 Kopie der Webseite. Nur leider nicht von Yahoo sondern von der NSA inklusive Router Trojaner. Was das betrifft eine echt schlimme zeit in der wir leben. Und was noch viel schlimmer wird. Zukünftige Ausmaße, die wir uns heute noch gar nicht vorstellen können - und wollen. Naja egal. Hauptsache biernominierung und flappy Bird erhellt mein Leben.
 
@RiKER: Dir ist schon klar, dass die 7270 seit 6 Jahren auf dem Markt ist... Und selbst da hat AVM Updates nachgeschoben. Davon kann man bei anderen Herstellern nur träumen.
 
@Arhey: ja aber nur für die v 2 und 3, ich hab zufällig die 7270 v3! "FRITZ!Box 7270 (ab v2) FRITZ!OS 05.54 (54/74.05.54) )
http://www.avm.de/de/frame/frame.php?destination=http%3A%2F%2Fwebgw.avm.de%2Fdownload%2Ft_download.jsp%3Fpartid%3D17122 da gibt es die letzte für die v1 => ftp://ftp.avm.de/fritz.box/fritzbox.fon_wlan_7270_v1/firmware/deutsch/
 
@snoopi: Release-Datum: 17.02.2014 _____ Neue Features: - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben _____ Wo liegt da jetzt das Problem?
 
Diese Sicherheitslücke ist schon ärgerlich, allerdings hat AVM extrem schnell reagiert und Patches zur Verfügung gestellt. Ich habe zwei Emails von AVM bekommen, wo ich auf diese Lücke hingewiesen wurde. Mehr kann man als Hersteller eigentlich nicht tun und Sicherheitslücken wird es (leider) immer geben! Von meinem Provider (1&1) hingegen habe ich bis heute keine Warnung bekommen!
 
@heidenf: 1+1 hat sowohl an unseren Verein als auch an mich privat Warnungen geschickt. Vielleicht hängt das damit zusammen, dass Du eine eigene FB und keine 1+1 gebrandete hast?
 
@ott598487: Nein, ich habe die 1&1 gebrandete 7390 und 7360!
 
@heidenf: naja, dann hat man wohl gewürfelt bei 1+1 ;-) Merkwürdig...
 
@ott598487: Sieht wohl so aus, aber der Service bei dem Verein ist sowieso das letzte. Ich glaube, ingesamt (3 Probleme) habe ich bereits 50-60 mal mit denen telefonieren müssen. Ausser nichts können die sogar gar nichts!
 
@heidenf: muss allerdings bekunden, dass ich seit 2001 keine Probleme mit 1+1 hatte, einmal waren die sogar extrem kulant. Aber das liegt vielleicht einfach auch daran, dass ich in einer Stadt und nicht in einer ländlichen Gegend wohne, wo viel mehr Leitungsprobleme auftauchen. Mein Schwager auf dem Land sagt auch: nie wieder 1+1.
 
Für meine Box gibt es seit fast 5 Jahren kein Update mehr - das heißt dann wohl, die Lücke bleibt in alle Ewigkeit offen....
 
@DRMfan^^: welche fb hast du? die erste? mein mittlerweile 5 Jahre alte fb 3270 hat noch ein update bekommen, obwohl sie offiziell nicht mal mehr supported wird.
 
@Mezo: Dann hoffe ich mal, dass es für die gute alte 7050 auch ein Update geben wird.
 
@Mezo: 5170
 
Bevor dann wieder ein Update kommt, das die Sicherheitslücke immer noch nicht beseitigt oder gar eine neue Sicherheitslücke erzeugt, ist es eine Überlegung wert, ob man sich nicht gleich einen OpenWRT-fähigen Router besorgt, der die FritzBox ersetzt. Bei OpenWRT ist wenigstens der Quellcode frei zugänglich, sodass jeder nach Sicherheitslücken Ausschau halten kann.
 
@Pizzamann: Stichwort: kann. Aber ob es viele machen?
 
Egal auf welchem Portal man darüber liest, niemand äußert sich dazu, ob denn das eigentliche Problem nun wirklich behoben wurde, oder ich hab's überlesen. Laut AVM diente das aktuelle Update leidglich dazu, den unberechtigten Zugang über den aktivierten Fernzugriff zu unterbinden, während man nun weiß, daß die Sicherheitslücke überhaupt nichts mit dem Fernzugriff zu tun hatte. Tja... ist sie nun trotzdem geschlossen, oder müssen wir auf ein weiteres Update hoffen?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles