seit AVM auf MyFritz plötzlich falsche Versionen für meine Geräte angezeigt hat, nur weil ich die Daten von den echten Geräten übernommen hatte.
Hier will ich nur noch mal anmerken, daß meine Shell-Implementierung zur Abfrage von JUIS-Infos ohne spezielle Parameter eben NICHT die originale MAC-Adresse einer "Vorlage-Box" verwendet (und zwar schon seit dem ultimativen Inkrafttreten der DSGVO vor jetzt fast drei Jahren), sondern die letzten drei Tupel (also 24 Bit) der MAC-Adresse zufällig setzt und das auch noch so, daß da keinesfalls die richtige verwendet wird.
Da es keine anderen gerätespezifischen Daten in einer solchen Abfrage gibt (die MAC-Adresse rangiert da ja obendrein noch unter dem Tag
Serial), ist diese auch das einzige Merkmal, was zur Verknüpfung zwischen einer JUIS-Abfrage und einem Gerät herangezogen werden kann. Die Frage, die man sich eher stellen sollte, wäre es also, warum AVM hier überhaupt Daten miteinander verknüpfen sollte (ich bin nicht mal sicher, daß man das auch tatsächlich macht)?
Denn diese Abfragen sind durch absolut nichts geschützt ... ja, wenn mein Skript die letzten drei Tupel auswürfelt, kann es sogar sein, daß dabei am Ende eine Adresse einer komplett anderen Box herauskommt (ich nehme mal an, daß AVM die Verknüpfungen - so es sie tatsächlich geben sollte - auch nur anhand von
maca macht und nicht über alle MAC-Adressen, die so eine Box letztlich hat) und dann für deren Besitzer irgendwelche Daten in den MyFRITZ!-Bereichen bei AVM verändert werden.
Damit schützt es also auch nicht wirklich vor solchen falschen Anzeigen auf
myfritz.net (und noch einmal: falls es sie - so wie berichtet - gibt und das systematisch belegt werden kann), wenn man selbst keine Abfragen nach neuen Versionen mehr macht - das kann ebenfalls passieren (und die Ursache ist dann auch nicht die Zufälligkeit der letzten drei Stellen der MAC-Adresse, sondern der Umstand, daß da vollkommen ungesichert hereinkommende Daten mit anderen verknüpft werden, was für sich genommen schon "fragwürdig" ist), wenn jemand anderes mit der passenden MAC-Adresse eine solche Abfrage macht.
Sollte das also tatsächlich so sein, würde ich mich bei AVM beschweren ... entweder man sichert die Abfragen besser ab, damit dabei nicht "fremde" MAC-Adressen verwendet werden können (ein möglicher, aber auch sehr aufwändiger Weg wären dann boxspezifische Zertifikate von AVM, wie bei den eCM der DOCSIS-Boxen) oder man verzichtet einfach auf die Verknüpfung solcher Daten, was auch aus Security-Sicht eigentlich ein kleines "Verbrechen" ist (gesicherte Daten, ggf. sogar personenbezogen, weil eine E-Mail-Adresse mit dem MyFRITZ!-Account verknüpft ist und andererseits unsichere Daten, deren "Echtheit" gar nicht validiert wurde, darf man einfach nicht (dauerhaft) miteinander verknüpfen, weil die unsicheren damit auch die Integrität der vermeintlich sicheren untergraben).
www.ip-phone-forum.de
