[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

Das kann die gleiche Lücke im Webinterface sein, die entweder über Fernwartung oder über lokales http ausgenuutzt werden konnte.
Es ist sicher schwerer den Angriff über lokales http durchzuführen, weshalb es bisher über Fernwartung gemacht wurde.
 
Mein Gigaset kann ausser telefonieren nichts.

So was gab es nie. Das waren seinerzeit noch die Megaset. Die Gigaset die ich kenne, koenne auch Anrufbeantworter steuern, Telefonbuecher abrufen, Anruflisten anzeigen, die PIN der Basis aendern, WLAN abschalten u.s.w. Auch an den Fritzboxen.

@Hans Juergen
Das sind doch 2 Paar Schuhe... Das DECT-MT nutzt erst einmal nur DECT, sonst nix.

Nur DECT?! Das ist mehr als telefonieren! Da gehen jede Menge Steuerdaten drueber!


voipd.
 
Zuletzt bearbeitet:
@ penum: Nein, ich gehe nicht davon aus, dass die Lücke bewusst verschwiegen wurde. Es gab Angriffe, die untersucht wurden. Diese untersuchten realen Angriffe wurden lt. AVM nur über die Fernwartung ausgeführt... Bisher gibt es keine gegenteiligen Meldungen...

@voipd: aber alles, was ein MT kann wird ausschließlich per DECT gesteuert...
 
[Edit Novize: Überflüssiges und bezugsfreies Fullquote des Beitrags #127 gelöscht - siehe Foren-Regeln]

@hph:

Gratulation zum Besuch in stern.tv zu dem Thema. Warst Du doch, oder?
 
Besucht man eine Webseite mit Schadcode werden die Daten der Fritzbox "abgefischt"...
Auch die DSL Zugangsdaten ?
Damit kann man doch in ganz Deutschland online gehen (T-Online), Standort ist doch egal.
Nur Doppel Einwahl geht ja nicht.
Wenn ich heute nacht die Fritzbox ausschalte , kann ein anderer mit meinen
Zugangsdaten surfen ? Und ich merke nichts....
 
get die Doppeleinwahl wirklich nicht?

Die war bei T-Online früher atsächlich nicht möglich,
oder nur bei bestimmten Kennungen erlaubt und möglich.

Sind Mitbenutzer bei der T-Com noch möglich?

Aber wie sieht es bei anderen Providern aus?
 
@Hans Juergen

Ich geh sogar noch weiter und behaupte das mit Sicherheit keiner bei AVM an das 2. Angriffsszenario gedacht hat. Ich könnte falsch liegen, aber mein Eindruck ist, dass diese Problematik von außen an die heise-Redaktion herangetragen wurde an AVM vorbei.
 
Hans Juergen;1989593[B schrieb:
@voipd: aber alles, was ein MT kann wird ausschließlich per DECT gesteuert...

Ja das weiss ich. Die Diskussion ging eigentlich darum, dass es egal ist mit welchem Protokoll/Schnittstelle man arbeitet. Ueberall kann es Luecken geben ueber die man Konfigdaten auslesen koennte.

voipd.
 
Die Idee, die hinter all dem steckt ist ewig alt. Früher nannte man das Blueboxing. Ein Break Signal via MFV bei einer aufgebauten 0130 Service Nummer und schon konnte man kostenlos die dollsten Nummern auf aller Welt via MFV erreichen.
 
Das mit den DSL-Zugangsdaten muss unbedingt geklärt werden...
viele schalten ihre Box nachts ab.
Es könnten eine Menge Zugangsdaten "im Umlauf" sein, nur weil man die
falsche Seite besucht hat.
Im Kundencenter der T-com kann man die Daten ändern.
 
Also ich habe immer bei einem Kumpel auf einer DSL Leitung über einen einfachen Netzwerk HUB mich mit meinen Zugangsdaten zusätzlich eingeloggt zwecks LAN Party und Games mit anderen Leuten. Das funktioniert auf jeden Fall.

Ob nun eine Doppelter Login mit denselben Zugangsdaten möglich ist, weiss ich nicht.

Es könnten dadurch aber die P2P Transferraten für illegale hauptberufliche BD Downloader enorm ansteigen mit Abmahnungen für die eigentlichen Inhaber der Zugangsdaten.
 
Herm schrieb:
... werden die Daten der Fritzbox "abgefischt"... Auch die DSL Zugangsdaten ?
Wenn die "Webseite mit Schadcode" Dich dazu auffordert, die Daten neu einzugeben - dann ja.

G., -#####o:
 
Die "Experten" bei SternTV haben nichts gesagt von wegen Daten sollten geändert werden, nur nach dem Motto: Jo, mach ma Update, und alles gut.

Wenn Daten aber abgefischt wurden, hilft Update auch nicht wirklich, weil man dann ja ggf. trotzdem drauf kommt, oder der Angreifer mit seinem IP Telefon sich direkt beim Anbieter anmeldet mit den Daten.

Und diese Vorführung wie Angriff abläuft hätte man sich auch eher sparen können.

Der Hanno ist wohl noch Unterwegs, und wird sich bestimmt später hier noch melden. SternTV ist ja eher Live hier in HH.

Beim Puplikum hat man aber gesehen, dass für viele Updates egal sind, weil es ja trotzdem Funktioniert und wohl er was für Nerds und Freaks sind.
 
Zuletzt bearbeitet von einem Moderator:
Hallo,
Was 1&1 anbelangt: Denen ist offenbar völlig egal, was mit den Kunden(daten) passiert. Zumindest haben sie auf Warnungen/Hinweise nicht reagiert, die Kunden kaum bis gar nicht informiert.....
Da kommen nur patzige, nichtssagenden Antworten. Damit meine ich nicht den normalen Support....

Ich würde es gerne genauer schreiben, aber dann würde mir der Schwebende nicht nur eine rote sondern einen Köcher voller roter Karten zeigen.

:arrow: Die Aussage von 1&1 ist sinngemäß: "Wer will, kann ja auf den Hilfeseiten suchen oder im Blog. Wie haben dort Hinweise und einige Kunden haben ja eine Mail bekommen."

Wer also über eklatante Sicherheitslücken informiert werden möchte, sollte sich einen Provider suchen, der das ernst nimmt. Mein Vertrag läuft leider noch 1 1/2 Jahre, aber ich gehe nicht davon aus, dass ich ihn verlängern werde.
 
Zuletzt bearbeitet von einem Moderator:
Wer also über eklatante Sicherheitslücken informiert werden möchte, sollte sich einen Provider suchen, der das ernst nimmt.
Nun ist das ja nur ein Kriterium, nach denen ich auswähle. Und in diesem Punkt habe ich ausreichend Alternativen. Und daher bleibt dieser Punkt bei mir ziemlich weit hinten...
 
Dazu gibt es ja u.a. auch dieses Forum hier. Dem Provider wird es erst mal egal sein, er macht Umsatz und das ist sein Geschäft, leider.
 
Hier gibt es keine Fernwartungsfunktion, die man aktivieren oder deaktivieren kann. Es muss also noch was anderes gefixt worden sein!!!!
Das sehe ich nicht so: Es wird eine wie auch immer formulierte Code-Sequenz an die Fritzbox übergeben, die diese stumpf an die Shell weitergibt - keine Session-ID, keine Code-Filterung, kein garnichts.
Aber wie man dort hin kommt ist zweitrangig. Das spielt für die Lücke primär keine Rolle, ob ich über das Türchen https-Fernzugang oder (von hph neu entdeckt) auch über den internen http-Zugang dies erreiche...
So gesehen ist das weiterhin ein und dieselbe Sicherheitslücke.
Ich geh sogar noch weiter und behaupte das mit Sicherheit keiner bei AVM an das 2. Angriffsszenario gedacht hat.
So sehe ich das auch, es hat keiner an den "Seiteneingang" gedacht, der zum selben "Flur" führt. Auch heise nicht, die nun in seltsamer Polemik AVM rumeiern vorwerfen, selbst aber keinen Deut besser sind, wie auch einige Kommentare in deren Forum aufzeigen...
Das mit den DSL-Zugangsdaten muss unbedingt geklärt werden...viele schalten ihre Box nachts ab.
Das wage ich zu bezweifeln denn das heutige Telefon läuft bei Telekom-Alternativen fast immer und bei der T-Com zunehmend nur noch über den DSL-Zugang. Auch ist bei allen, deren Box ich betreue diese irgendwo in der Ecke oder hinter dem Schrank versteckt... die schaltet nieman abends aus. Vor allem, wenn die Königin des Heimreiches abends ihrem Hobby nachgehen will und das Telefon tot wäre - das wäre ein Sterbensgrund für den sparsamen Ehemann. :hehe:
 
Hallo Sven,
Das ist leider die Realität. Ich kenne eine Menge 1&1-Kunden, die nicht einmal wissen, welche Technik sich hinter dem Homeserver verbirgt. Von Updates und Passwörtern wollen wir mal nicht sprechen... :?

Bringe denen mal bei, was ein Krimineller mit der Kundenkennung (identisch mit DSL-Zugangskennung) und dem Passwort anfangen kann, wenn man für das CC kein eigenes hat :? Bei einer Doppeleinwahl kann man ja noch feststellen, von welcher IP diese kam. Da dürfte der Schaden IMHO recht überschaubar sein. Aber gekündigte/geänderte/abgeschlossene Verträge rückgängig machen? Da bekommst Du nur als Info: "Sie haben den doch in Ihrem CC getätigt!" "Die Anrufe kamen über Ihren Account!", ...

Mit dem Support dort bin ich fertig. Mittlerweile schaue ich für mehr als 10 Kunden dort nach Updates, Sicherheitswarnungen usw ... Keiner von denen hat etwas von 1&1 gehört. Wenn aber im Laufe des Jahres 5 von denen bei 1&1 Kündigen werden (was definitiv ist), dann bin ich auf die Rückholversuche gespannt.....
 
Also ich wurde schon fast zugespam`t mit Warnung, eine Email von 1&1 (also auch Mitteilung im CC) vom 7.2. und 4 Emails von AVM.

Zudem spielt 1&1 Standard ja eh selbst Updates ein in die FB.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.