[Gelöst] Fritz!Box 7490 mit OS 6.01: ACHTUNG Hacker!

[Cumu]

Ich habe in diesem Thread einige Infos zu meinem Problem gefunden, denke aber dass mein Problem einen eigenen Thread verdient hat.

Ich habe vor einigen Wochen bei Brack.ch die FB 7490 CH-A gekauft und vor ca. 2 Wochen installiert. Ich wurde im Backend der FB auf das update aufmerksam gemacht (aber nicht mehr und nicht weniger), habe es dann eingespielt und im allerersten Moment nicht mal gemerkt, dass die FW-Version auf 6.01 blieb, weil weder eine Fehlermeldung kam, noch sonst was. Der Updateprozess lief wie bei allen Schweizern offenbar fehl. So weit so gut, ich habe dann stundenlang gegoogelt und verschiedene Workarounds versucht. Alles ohne Erolg. Das ganze zog sich über mehrere Tage hin, insgesamt war ich knapp 10 Stunden damit beschäftigt, aber bis vor einigen Tagen erfolglos. Heute nachmittag dann habe ich festgestellt, dass über meinen Festnetzanschluss Anrufe nach England liefen... sofort habe ich der FB den Stecker ins Netz gezogen und auch umgehend festgestellt, dass ich offensichtlich gehackt wurde. In der Telefonliste war ein IP-Telefon 1 drin, welches auf einer meiner 3 Multiline Nummern anrufe nach England machte. Schadensumme: ewas über CHF 500.- (in ca. 10h).

Mittlerweilen habe ich es mit einem Recovery Update geschafft, die FW auf 6.04 zu bringen, das ganze hat mich aber einige Stunden arbeit gekostet. Googeln, lesen, probieren und so weiter... man findet ja selten auf Anhieb die richtige Lösung. Ich habe noch nie so ein Recovery Update eingespielt, für mich war's schon eine Heidenarbeit, überhaupt die richtige Version für meine internationale Box zu finden...

Nun meine Fragen:
- Habe ich eine Chance, dass Swisscom auf den Betrag verzichtet (Abklärungen sind am laufen)?
- Wieso verkauft Brack.ch ein Gerät, von dem man offenbar seit Ende Februar 2014 weiss, dass es ein grosses sicherheitsrelevantes Problem hat und eigentlich gar nicht so betrieben werden darf! Leider war ich mir dessen nicht bewusst, wohl auch weil ich nirgends explizit auf dieses Sicherheitsproblem aufmerksam gemacht wurde.
- Wieso informiert Brack beim Verkauf dieser Geräte ihre Kunden nicht über dieses Problem? Brack hat mit Garantie von den Problemen Kenntnis gehabt...
- Und was mich noch interessieren würde: Gibt es in der Schweiz weitere Geschädigte? Wäre nett, wenn sich hier auch generell Leute melden könnten zu diesem Problem, allenfalls auch aus dem Ausland. Was macht man in der Hinsicht am besten?
- Könnte man eine der oben genannten Firmen (AVM, Brack, Swisscom) allenfalls via Produktehaftpflicht dazu bringen, mir die Kosten zu erstatten?

Und hier nochmals klipp und klar der Aufruf an alle, die noch mit FW 6.01 unterwegs sind! Nehmt eure Box sofort offline oder/und updatet auf mindestens OS 6.04!!

 

[RAMler]

Das Thema ging zumindest in DE auch (mehrfach) durch die Mainstream Presse. IT Seiten waren voll damit, z.B. http://www.heise.de/thema/Fritzbox
Hier im Forum gibt es zig Threads zu dem Thema (SuFu nutzen), auch mit Testseiten um die eigenen Boxen zu überprüfen. Beispiel:
http://www.ip-phone-forum.de/showthread.php?t=267578
Selbst OEM Geräte wurden gepatcht und auch zu SpeedtoFritz ect. gibt es etliche Threads.

Wieso das FW Update bei dir nicht durchlief, kann ich dir leider nicht beantworten. Ich habe keine internationale FB. Wie kommst du zu dem Rückschluss, dass das Update bei keinem Schweizer ging?

Zu deinen Fragen:

- Das musst du mit Swisscom klären und auf deren Kulanz hoffen. Ich wüsste nicht, wieso das hier jemand wissen sollte.
- Frage 2&3: Wieso stellst du diese Fragen hier und nicht an die Leute, die es betrifft - brack? Wieso sollte das hier jemand wissen?
- Keine Ahnung. In Deutschland gab es etliche Geschädigte, vor allem eben, als das Problem aktuell war. In dem Fall haben die Provider die Kosten wohl getragen. Ob sie das jetzt, Monate später, noch tun würden - keine Ahnung. Ob sie es bei einer frei gekauften Box überhaupt tun würden, auch keine Ahnung. Ich tippe aber mal spontan auf nein.
- Das musst du einen Juristen Fragen, keinen Haufen ITler in einem "Routerforum".

 

[informerex]

Ich wurde im Backend der FB auf das update aufmerksam gemacht (aber nicht mehr und nicht weniger), habe es dann eingespielt und im allerersten Moment nicht mal gemerkt, dass die FW-Version auf 6.01 blieb, weil weder eine Fehlermeldung kam, noch sonst was.

Dass der Hinweis im backend kam ist doch lobenswert und von anderen Herstellern in der R. nicht vorhanden.
in das backend muss man zwangsläufig zur Konfig und auch die aktuell verwendetet FW-Versions-Nummer steht nicht versteckt, sondern auf der Startpage - rechts oben, ein abschließender check gehört dazu.
Egal ob neue Hardware oder Austauschboxen durch Garantiefälle, hier sollte jeweils bei Einsatz die Aktualität geprüft werden, denn sonst müsste Bestands-Ware (vom Händler) geöffnet und upgedatet werden - das macht niemand, wegen Aufwand und evtl. Reklamationen, dass Neuware bspw. Verpackung geöffnet wurde.

int. Version 7490 - hier eine 6.06

Bzgl. deinen Fragen solltest du die entsprechenden Vertragspartner kontaktieren bzw. einen Anwalt konsultieren, denn freiwillig wird mit Sicherheit niemand gerne die Kosten übernehmen.
(zumal du ja einräumst - durch den "fehlgeschlagenen Update-Vorgang" - dass du Kenntnis von der neuen FW hattest)
AVM hat eine neue Funktion in der Einführungen, dass automatisch FW-Update durchgeführt werden bzw. man bei neuen Versionen Mail-Info usw. erhält, ob/wann dies bei der intern. Version kommt weiß ich nicht - evtl. im Auge behalten.

deine Warnung an andere User das Update durchzuführen wir leider verhallen, denn trotz Warnungen im [Sammlung] Suche Firmware & Recover-Images - post#1 sowie den nachfolgenden posts (die ja regelmäßig gelöscht werden, daher evtl. keine warn-postings vorhanden), besteht man fast schon auf die ältere/angefragte Versionen.

abschließend der Hinweis, dass alle Passwörter die in der Box waren, ausgetauscht werden müssen, sprich von den SIP-Daten, Mail-/Fernzugriff-PW usw.
Auch sollte man in Betracht ziehen, dass nicht die Box dass Einfallstor war sondern PCs mit keylogger o.ä., daher angeschlossenen Systeme (mit neusten Sicherheits-Software) einem Komplett-Scan unterziehen.

//edit: Sicherheit mit AVM
Overview of security updates for international FRITZ!Box models

//edit2: Ankündigung: Wichtige Mitteilung: [Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang

 

[Cumu]

Danke RAMler, ich habe ganz offensichtlich mit den falschen Suchbegriffen gesucht, wie das meist der Fall ist, wenn jemand sucht, aber nicht findet. Jetzt habe ich einiges an Lesestoff und weiss nun auch, dass die 3 weiteren Boxen, die ich im Geschäft und bei Freunden empfohlen und eingesetzt habe, sicher sind.

Noch ein Hinweis: Ich bin derzeit auf allen Kanälen am abklären, was ich auch hier gefragt habe. Für mich ist es immer unverständlicher, weshalb man mir im Juni eine Box verkauft, die seit Mitte Februar unsicher ist und wofür es in etwa gleich lange bereits ein Update gibt!! Denn dass die 7490 so unsicher ist, habe ich nicht mitbekommen, da ich erst Ende Mai den Beschluss gefällt habe, dass ich sie mir kaufe, bzw. habe erst dann erfahren, dass es eine neue Box gibt, die ich auch in der Schweiz bei Swisscom einsetzen kann. Und da war das Thema wohl schon durch. In der Schweiz war's aber sicher nicht so breit gestreut wie in D.

Egal, momentan bin ich froh um jedes bisschen, das mir am Ende hilft, evtl. doch noch zumindest einen Teil des Schadens abwenden zu können. Immerhin habe ich Swisscom proaktiv informieren können und musste nicht warten, bis die mir Rechnungen gestellt haben, bis ich es gemerkt habe...

Und ein weiterer Punkt ist, dass ich möglichst verhindern will, dass weitere Leute in der Schweiz gekapert werden. Denn ich kann mir sehr gut vorstellen, dass Brack noch immer solche Boxen verkauft, was ich dann echt daneben finden würde.

 

[koyaanisqatsi]

Moin

Hm, die Beweislage ist schwierig.
Jetzt hast du zwar eine sichere Firmware drauf, aber dadurch auch alle Spuren des Hacks beseitigt.
Eine Analyse wie und warum wird dadurch unmöglich.

Wenn du also gehackt worden bist, reicht alleine die gefixte Firmware nicht.
Bei allen Accounts die in der Box sind/waren müssen die Passwörter geändert werden.
Internetzugang, Telefonnummernpasswörter, EMail, Onlinespeicher u.s.w.
Natürlich ohne das der Hacker davon erfährt (EMailweiterleitung etc etc).

 

[Cumu]

Gibt es irgendwo eine saubere Anleitung, was wo und wie geändert werden muss? Ich bin genau das derzeit am Suchen. Das ZUgriffspasswort der Box selbst habe ich natürlich bereits geändert und bin derzeit grad dran, alle andere in der Box gespeicherten Passworte zu ändern (z.B. Dyndns, etc.)

 

[informerex]

mach ein Werksreset und alle verlangten PW änderst du einfach vor Eingabe
(dh. Push-Mail, myfritz, dyndns, Benutzer-Account, Sip-Daten)

 

[SF1975]

Hallo,
Falls Du hast, auch Daten zum Onlinespeicher (WebDAV), alle Mailaccounts, die Du in Pushmail eingerichtet hast, Dazu noch WLAN-key, also einfach ALLES, was Du im Zusammenhang mit Deiner Box nutzt

 

[eisbaerin]

@Cumu:
Mich interessiert noch:
Hattest du die "Fernwartung" aktiviert oder nicht?
Heißt neuerdings: "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"

Daran kann man erkennen, ob der Angriff von außen oder von innen erfolgte.

 

[Cumu]

Ja, den hatte ich aktiv. Aber mit einem lediglich 6 stelligen Passwort versehen (Buchstaben und Zahlen). Und ich hatte vor ca. 2 Monaten (also noch mit dem alten Modell 7570) meinen PC frisch aufgesetzt, weil ich mir Malware eingefangen habe (trotz aktiviertem Virenscanner, Bezahlversion von Avast). Die Einstellungen von der 7570 habe ich (leider) alle übernommen. Ich gehe schon davon aus, dass der Angriff von aussen kam. Allenfalls wurden die Passworte durch Malware wie Keylogger oder so ausgelesen.

 

[Cumu]

Die Sache ist zwar schon nicht mehr Topaktuell, aber vielleicht gerade deshalb kann dieser Link auch anderen Nutzern noch wertvolle Dienste erweisen:

http://avm.de/ratgeber/sicherheit/sicherheits-update-vom-februar-fuer-fritzbox/

Hier steht in einer gut gemachten Anleitung, was in diesem Fall zu tun ist. Auch hier hat sich AVM meiner Meinung nach vorbildlich verhalten. Nur leider kann ich als Endkunde ja nix dafür, wenn man mir Monate nach Bekanntwerden einer Sicherheitslücke noch so ein Gerät verkauft und mich nicht mal darauf aufmerksam macht, wie hoch das Risiko wirklich ist... bin gespannt, wie sich die einzelnen Firmen verhalten werden.

Wurde den Geschädigten in Deutschland eigentlich die Kosten erlassen?

 

[koyaanisqatsi]

Soweit ich das mitgekriegt habe, wurden den Meisten recht kulant die entstandenen Kosten erlassen.
Gibt aber auch Ausnahmen die blechen mussten.
Am Besten fand ich die Minusbeträge auf einen Prepaidaccount.

 

[informerex]

Erfahrungsbericht: Reaktion auf Fritzbox-Hack; Easybell & AVM übernehmen KEINE Kosten

 

[eisbaerin]

Aber mit einem lediglich 6 stelligen Passwort versehen

Das war egal. Das Passwort wurde nicht gebraucht. Es hätte auch ein super sicheres Passwort seien können. Es reichte alleinig die Aktivierung der Fernwartung.

Das war ja das gemeine an dieser Sicherheitslücke:
Man kam ohne Passwort von außen an die gesamte Konfig der FB mit allen Passwörtern.

 

[koyaanisqatsi]

...und konnte sich so´die gesamte Konfiguration mit Benutzer/Passwörtern in Klartext an einen FTP-Server schicken lassen.