Gibt es hier ein spezielles Unterforum für die Andoid- und iOS-Apps von AVM, die mit den neueren Versionen der Firmware der Fritzbox funktionieren? Ich frage hier in diesem Unterforum, weil die Apps ja zum Teil erst mit den neuesten Labor-Versionen zusammenarbeiten.
Das gilt wohl speziell auch für die Android-App "FRITZ!App Ticker" und "FRITZ!App Ticker Labor", die ein riesiges Loch reissen in die Sicherheit der Fritzbox.
An sich ist diese App "FRITZ!App Ticker" (die als Widget arbeitet) eine schöne Sache, denn man kann von der Ferne über das Internet von überall aus die eingegangenden Anrufe sehen und das sogar ohne VPN-Zugang. Der Zugang zur Box von der Ferne aus geschieht über die Fernwartungsschnittstelle (die in neueren Laborversionen entsprechend erweitert wurde). Damit die App arbeite, braucht sie die Fernwartungs-Zugangsdaten und speichert sie (das Passwort natürlich verschlüsselt) intern dauerhaft ab. So weit, so gut. Neue Anrufe an die heimatliche Fritzbox werden problmlos und gut signalisiert, auch und gerade in der Ferne.
Aber es gibt in dieser App einen Button, der sich mit den gespeicherten(!) Zugangsdaten über den Standardbrowser des Smartphones einfach so bis zur Anmeldeseite der heimatlichen Fritzbox Fernwartungsmässig einloggt. Und das also ohne jede Eingabe oder Abfrage von Fernwartungsadmin und Fernwartungspasswort.
Man ist dann also auf die Anmeldeseite der heimatlichen Fritzbox, auf der man das lokale Passwort eingeben muss, wie man das Zuhause lokal auch machen muss. Alles kein Problem könnte man denken, das Passwort muss man ja eingeben um auf die Oberfläche der Box zu kommen. Stimmt.
ABER: Jeder kann auf dieser Anmeldeseite auch die Fritzbox zurücksetzen und alles löschen incl DSL Zugang usw.
Es mag sein, dass dies auf der neuen mobilen Version der Anmeldeseite nicht möglich ist. Aber ich betreibe, wie sehr viel Smartphonebenutzer, meinen Brower des Smartphones (Dolphin Browser HD) für alle Webseiten so, dass er sich als Desktop -Browser zu erkennen gibt. Ich sehe also auf dem Smartphone genau die gleiche Anmeldeseite wie am PC. Die Browser-Einstellung auf dem Smartphone kann und werde ich übrigens nicht ändern.
Da es sich um ein Widget handelt, es also immer erreichbar und der Fernwartungs-Button auf der Widget-Oberfläche sogar immer(!) sichtbar ist, ist Folgendes derkbar und möglich: Ich zeige Fotos auf meinem Smartphone rum. Einer aus der Runde, der ich die Fotos zeige, beendet die Gallerie-App, das "FRITZ!App Ticker"-Widget wird sichtbar. Der, der das Smartphone in der Hand hält, kann nun mit nur vier(!) weiteren Tastendrücken auf sichtbare Buttons und Links (ohne(!) jede Benutzeranmeldung und ohne(!) jede Passwortabfrage) meine heimatliche Fritzbox löschen.
Ich finde dies ist einen Skandal. Ich habe AVM darauf hingewiesen, aber auch in der neuesten "FRITZ!App Ticker Labor" ist dieses Sicherheitsloch noch offen.
Entschuldigt, wenn ich dieses Unterforum für die Sache misbrauche, aber es hängt ja in gewisser weise mit den neuesten Labor-Versionen zusammen. AVM scheint es egal zu sein. Ich hoffe aber, dass AVM hier eher mitliest.
Bejobe
