Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Das kann die gleiche Lücke im Webinterface sein, die entweder über Fernwartung oder über lokales http ausgenuutzt werden konnte.
Es ist sicher schwerer den Angriff über lokales http durchzuführen, weshalb es bisher über Fernwartung gemacht wurde.
So was gab es nie. Das waren seinerzeit noch die Megaset. Die Gigaset die ich kenne, koenne auch Anrufbeantworter steuern, Telefonbuecher abrufen, Anruflisten anzeigen, die PIN der Basis aendern, WLAN abschalten u.s.w. Auch an den Fritzboxen.
@Hans Juergen
Das sind doch 2 Paar Schuhe... Das DECT-MT nutzt erst einmal nur DECT, sonst nix.
@ penum: Nein, ich gehe nicht davon aus, dass die Lücke bewusst verschwiegen wurde. Es gab Angriffe, die untersucht wurden. Diese untersuchten realen Angriffe wurden lt. AVM nur über die Fernwartung ausgeführt... Bisher gibt es keine gegenteiligen Meldungen...
@voipd: aber alles, was ein MT kann wird ausschließlich per DECT gesteuert...
Besucht man eine Webseite mit Schadcode werden die Daten der Fritzbox "abgefischt"...
Auch die DSL Zugangsdaten ?
Damit kann man doch in ganz Deutschland online gehen (T-Online), Standort ist doch egal.
Nur Doppel Einwahl geht ja nicht.
Wenn ich heute nacht die Fritzbox ausschalte , kann ein anderer mit meinen
Zugangsdaten surfen ? Und ich merke nichts....
Ich geh sogar noch weiter und behaupte das mit Sicherheit keiner bei AVM an das 2. Angriffsszenario gedacht hat. Ich könnte falsch liegen, aber mein Eindruck ist, dass diese Problematik von außen an die heise-Redaktion herangetragen wurde an AVM vorbei.
Ja das weiss ich. Die Diskussion ging eigentlich darum, dass es egal ist mit welchem Protokoll/Schnittstelle man arbeitet. Ueberall kann es Luecken geben ueber die man Konfigdaten auslesen koennte.
Die Idee, die hinter all dem steckt ist ewig alt. Früher nannte man das Blueboxing. Ein Break Signal via MFV bei einer aufgebauten 0130 Service Nummer und schon konnte man kostenlos die dollsten Nummern auf aller Welt via MFV erreichen.
Das mit den DSL-Zugangsdaten muss unbedingt geklärt werden...
viele schalten ihre Box nachts ab.
Es könnten eine Menge Zugangsdaten "im Umlauf" sein, nur weil man die
falsche Seite besucht hat.
Im Kundencenter der T-com kann man die Daten ändern.
Also ich habe immer bei einem Kumpel auf einer DSL Leitung über einen einfachen Netzwerk HUB mich mit meinen Zugangsdaten zusätzlich eingeloggt zwecks LAN Party und Games mit anderen Leuten. Das funktioniert auf jeden Fall.
Ob nun eine Doppelter Login mit denselben Zugangsdaten möglich ist, weiss ich nicht.
Es könnten dadurch aber die P2P Transferraten für illegale hauptberufliche BD Downloader enorm ansteigen mit Abmahnungen für die eigentlichen Inhaber der Zugangsdaten.
Die "Experten" bei SternTV haben nichts gesagt von wegen Daten sollten geändert werden, nur nach dem Motto: Jo, mach ma Update, und alles gut.
Wenn Daten aber abgefischt wurden, hilft Update auch nicht wirklich, weil man dann ja ggf. trotzdem drauf kommt, oder der Angreifer mit seinem IP Telefon sich direkt beim Anbieter anmeldet mit den Daten.
Und diese Vorführung wie Angriff abläuft hätte man sich auch eher sparen können.
Der Hanno ist wohl noch Unterwegs, und wird sich bestimmt später hier noch melden. SternTV ist ja eher Live hier in HH.
Beim Puplikum hat man aber gesehen, dass für viele Updates egal sind, weil es ja trotzdem Funktioniert und wohl er was für Nerds und Freaks sind.
Hallo,
Was 1&1 anbelangt: Denen ist offenbar völlig egal, was mit den Kunden(daten) passiert. Zumindest haben sie auf Warnungen/Hinweise nicht reagiert, die Kunden kaum bis gar nicht informiert.....
Da kommen nur patzige, nichtssagenden Antworten. Damit meine ich nicht den normalen Support....
Ich würde es gerne genauer schreiben, aber dann würde mir der Schwebende nicht nur eine rote sondern einen Köcher voller roter Karten zeigen.
:arrow: Die Aussage von 1&1 ist sinngemäß: "Wer will, kann ja auf den Hilfeseiten suchen oder im Blog. Wie haben dort Hinweise und einige Kunden haben ja eine Mail bekommen."
Wer also über eklatante Sicherheitslücken informiert werden möchte, sollte sich einen Provider suchen, der das ernst nimmt. Mein Vertrag läuft leider noch 1 1/2 Jahre, aber ich gehe nicht davon aus, dass ich ihn verlängern werde.
Nun ist das ja nur ein Kriterium, nach denen ich auswähle. Und in diesem Punkt habe ich ausreichend Alternativen. Und daher bleibt dieser Punkt bei mir ziemlich weit hinten...
Das sehe ich nicht so: Es wird eine wie auch immer formulierte Code-Sequenz an die Fritzbox übergeben, die diese stumpf an die Shell weitergibt - keine Session-ID, keine Code-Filterung, kein garnichts.
Aber wie man dort hin kommt ist zweitrangig. Das spielt für die Lücke primär keine Rolle, ob ich über das Türchen https-Fernzugang oder (von hph neu entdeckt) auch über den internen http-Zugang dies erreiche...
So gesehen ist das weiterhin ein und dieselbe Sicherheitslücke.
So sehe ich das auch, es hat keiner an den "Seiteneingang" gedacht, der zum selben "Flur" führt. Auch heise nicht, die nun in seltsamer Polemik AVM rumeiern vorwerfen, selbst aber keinen Deut besser sind, wie auch einige Kommentare in deren Forum aufzeigen...
Das wage ich zu bezweifeln denn das heutige Telefon läuft bei Telekom-Alternativen fast immer und bei der T-Com zunehmend nur noch über den DSL-Zugang. Auch ist bei allen, deren Box ich betreue diese irgendwo in der Ecke oder hinter dem Schrank versteckt... die schaltet nieman abends aus. Vor allem, wenn die Königin des Heimreiches abends ihrem Hobby nachgehen will und das Telefon tot wäre - das wäre ein Sterbensgrund für den sparsamen Ehemann. :hehe:
Hallo Sven,
Das ist leider die Realität. Ich kenne eine Menge 1&1-Kunden, die nicht einmal wissen, welche Technik sich hinter dem Homeserver verbirgt. Von Updates und Passwörtern wollen wir mal nicht sprechen... :?
Bringe denen mal bei, was ein Krimineller mit der Kundenkennung (identisch mit DSL-Zugangskennung) und dem Passwort anfangen kann, wenn man für das CC kein eigenes hat :? Bei einer Doppeleinwahl kann man ja noch feststellen, von welcher IP diese kam. Da dürfte der Schaden IMHO recht überschaubar sein. Aber gekündigte/geänderte/abgeschlossene Verträge rückgängig machen? Da bekommst Du nur als Info: "Sie haben den doch in Ihrem CC getätigt!" "Die Anrufe kamen über Ihren Account!", ...
Mit dem Support dort bin ich fertig. Mittlerweile schaue ich für mehr als 10 Kunden dort nach Updates, Sicherheitswarnungen usw ... Keiner von denen hat etwas von 1&1 gehört. Wenn aber im Laufe des Jahres 5 von denen bei 1&1 Kündigen werden (was definitiv ist), dann bin ich auf die Rückholversuche gespannt.....