AVM: Erneute Sicherheitsprobleme mit der FritzBox-Fernwartung

Nachdem AVM Anfang dieses Jahres Probleme mit der Fernwartungsfunktion seiner Fritzboxen hatte, müssen die Entwickler jetzt an ähnlicher Stelle Hand anlegen, um ein Sicherheitsleck zu stopfen. Betroffen ist die MyFritz-App für iOS und Android.
Avm, Router, Fritzbox

Fehler in der Fernwartung

Die aktuell von Experten von heise Security entdeckte Sicherheitslücke machte es wegen eines Fehlers in der Fernwartungsfunktion der FritzBoxen unter bestimmten Umständen möglich, die volle Kontrolle über den Router und den Telefonanschluss zu erlangen. So könnten Angreifern mit Hilfe der MyFritz-Apps für iOS und Android auf das Web-Interface Zugriff erlangen, ohne die entsprechenden Login-Daten einzugeben.
AVM MyFritz-AppLücke in der MyFritz-App
Die Apps sollen es Nutzern von Fritzbox-Routern eigentlich ermöglichen, auch unterwegs auf Inhalte wie Anruflisten und Medien zuzugreifen. Dafür bauen die Anwendungen per HTTPS eine verschlüsselte Verbindung zu dem Router auf. Genau in diesen vermeintlich sicheren Datenverkehr sollen sich Angreifer laut den aktuellen Erkenntnissen aber einklinken können, wenn die App beispielsweise über ein öffentliches Netzwerk Anschluss findet.

Eingeklinkt über die App

Das Problem: Bei diesem unautorisierten Zugriff kann von den Angreifern die sogenannte Session-ID des legitimen Nutzers entwendet werden, die es ermöglicht, ohne Login-Daten auf die Web-Oberfläche der FritzBox zu gelangen. Von diesem Punkt aus können die unerwünschten Router-Gäste beispielsweise einen neuen Account anlegen, der den Zugang auch nach Ablauf der Session-ID ermöglicht.

Wie heise mitteilt, habe man nach der Entdeckung der Sicherheitslücke mit AVM Kontakt aufgenommen, um den Hersteller vor der Veröffentlichung Zeit für einen zuverlässigen Fix zu verschaffen. Dieser habe die Lücke in der Fernzugriffs-App daraufhin geschlossen.

App überprüfen für mehr Sicherheit

Wer die MyFritz-App für iOS und Android nutzt, sollte deshalb überprüfen, ob diese auf dem neusten Stand ist. Mit der frischen Version merkt sich die Anwendung beim ersten Verbindungsaufbau das von der Fritzbox ausgegebene SSL-Zertifikat. Sollte dieser "Schlüssel" durch einen Angriff verändert werden, gibt die MyFritz-App eine Warnmeldung aus. Aus diesem Grund sollten Verbindungen mit der Fritzbox nach dem App-Update im Heimnetzwerk neu eingerichtet werden.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!