[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Wenn ich über MyFritz übers Internet de facto die komplette Kontrolle über die Box habe ....

Über MyFritz hast Du nicht die Kontrolle über eine Box, sondern nur ihre Adresse. Zusätzlich braucht man noch das Passwort für die Box.
Wenn aber das Passwort der Box das gleiche ist wie das Passwort des Email Accounts und von MyFritz, und wenn dann auch noch dieses Passwort in falsche Hände kommt, dann ist es schlecht.
 
Wenn aber das Passwort der Box das gleiche ist wie das Passwort des Email Accounts und von MyFritz, und wenn dann auch noch dieses Passwort in falsche Hände kommt, dann ist es schlecht.

Das meinte ich damit.
Insbesondere den Aspekt, das es scheinbar möglich ist, ein neues Telefon zu registrieren.
 
So, jetzt bin ich mal dran: So steht das doch schon in Post #2
:mrgreen:
 
Insbesondere den Aspekt, das es scheinbar möglich ist, ein neues Telefon zu registrieren.
Das ist nicht nur scheinbar möglich, sondern tatsächlich. Nachdem man über die Fernwartung ein IP-Telefon eingerichtet hat, kann man sich daran aus der Ferne registrieren.
 
@JohnDoe42
Dass man ein neues Telefon registrieren kann, hat nichts mit MyFritz zu tun, sondern damit, dass die Konfiguration übers Internet freigegeben wird.
Man könnte ebenso MyFritz nur dafür verwenden, um auf Dateien der Box zuzugreifen, dann hätte man das Problem nicht.
 
Aber MyFritz verleitet dazu. Es macht Funktionen, für die man vorher ein gewisses Grundwissen brauchte, der Masse zugänglich, die diese Grundwissen nicht hat.
Als MyFritz eingeführt wurde, dachte ich: Wozu? Geht doch schon über dynamische DNS...
AVM hat mit MyFritz Leuten Funktionalitäten zugänglich gemacht, die gefährlich sind, ohne diese Leute hinreichend zu warnen.

Eine Anmeldung mit eMailadresse und Passwort verleitet unbedarfte Nutzer auch dazu, hie die gleiche Kombination wie beim Webmailer zu verwenden. Wer von denen, der den Computer lediglich als Anwender nutzt, macht sich denn Gedanken über Sicherheit? Man hat ja ein Gerät eines bekannten Anbieters, sieht die ganzen tollen Funktionen - und nuzt die halt unbedarft.

Warum gibt es Schutzplanken an Straßen? Wenn alle mit angemessener Geschwindigkeit fahren und sich an die StVO halten, braucht man die doch nicht... Bei der EDV wird alles erdenkliche möglich gemacht, aber ohne jeden Schutz gegen "Fahrfehler" - und das, obwohl man dazu nicht mal einen "Führerschein" braucht. Im Straßenbau wäre der Baulastträger haftbar, wenn er eine Straße bewusst oder grob fahrlässig gefährlich baut. Aber MyFritz ist natürlich trotz des Bewerbens der Funktionen völlig schuldlos an den Problemen...

Bitte nicht mißverstehen: Die Funktionen sind schon klasse. Was fehlt, sind Hindernisse. Vor allem das wichtigste: MyFritz hat in der Standardansicht der FBF-Oberfläche nichts verloren. Das mindeste ist, es auf die erweiterte Ansicht zu beschränken. Das Umschalten auf erweiterte Ansicht sollte von einem Warnhinweis "Hiermit können Sie Sicherheitslücken schaffen. Verzichten Sie auf diese Ansicht, wenn sie sich nicht wirklich, wirklich sicher sind, was sie tun" begleitet sein. Der Modus sollte auch treffender "Expertenansicht" heißen.
 
"Eine Anmeldung mit eMailadresse und Passwort verleitet unbedarfte Nutzer auch dazu ......."

Dem stimme ich grundsätzlich zu. Aber nicht nur. Auch mir, ein paar Jahre dabei, ist es, nach Umstieg von 7170 auf 7390 (zunächst) passiert, bei der Neueinrichtung, nach all den Push-Eingaben, mehr oder weniger "automatisch" bei der Frage nach e-mail und Passwort, mein e-mail Passwort eingegeben zu haben (mit Erschrecken festgestellt) .... Habe MyFritz dann abgeschaltet, war nur neugierig, brauche es nicht, komme mit "dyndns" (regfish) prima (weiterhin) zurecht....
 
Aber MyFritz verleitet dazu. Es macht Funktionen, für die man vorher ein gewisses Grundwissen brauchte, der Masse zugänglich, die diese Grundwissen nicht hat.
So sehe ich das auch.
Das Problem ist, daß diese Funktion das Potential bietet, Sicherheitslücken (wie evtl. gerade gesehen bzw. in der Presse zu lesen) zu schaffen.
Selbstverständlich bietet die Funktion, bei bewußtem Umgang, einigen Komfort. Das Problem ist, daß man bei einigen Millionen Mail-Accounts sicherlich einige Prozente der Inhaber finden wird, die dieses Bewußtsein nicht haben (oder bei der Einrichtung dieser Funktion in der Sekunde nicht hatten). Macht nach Adam R. dann einige 10.000 potentielle Probleme.
 
Moin

Bevor myfritz.net in der Luft zerissen wird, sollte folgendes Bedacht werden:

1. Die Accountkaperung bei myfritz.net führt zur jeweiligen Fritz!Box (IPv4, IPv6 oder Beides).
2. Das Login der Fritz!Box taucht also auf, was nun? (Wenn anderes Passwort)

An dieser Stelle kommt der Hacker erstmal nicht weiter.
Es sei denn, es wurde folgendes in der Fritz!Box aktiviert.....
Pushservice_01.png
Jetzt aber schnell wieder deaktivieren.
 
Zuletzt bearbeitet:
Desweiteren fand ich dieses

von hier gar nicht so schlecht ...

Ich überlege gerade folgendes Konstrukt:

TAE--->Dummes DSL-Modem (ohne Zugangsdaten)---> <untrust> Juniper Netscreen NS-5GT <trust> ---> Fritzbox über LAN1
............................................................................................................................ <trust> ---> GBit-Switch ---> PC und Co.

Die Juniper macht die PPPoE-Einwahl, die Fritte macht WLAN und Telefonie.

Spricht was gegen dieses Konstrukt?
Ne Netscreen gibts so um 40 EU gebraucht. (Und ich habe eh eine hier rumstehen ;))

Danke!
 
Wenn ipv6 aktiv ist, (z. B. sixxs Tunnel, die ipv6 ist praktisch konstant) kann auch nach der Deaktivierung des Fernzugriffes auf die Box von außen mit einem einfachen http://meine ipv6 Adresse zugegriffen werden.
Es reicht also nicht, nur den Fernzugriff zu disablen wie AVM meint.
 
@Fritz: Doch, die Fernzugriffsdeaktivierung führt dazu, dass die HTTPS/FTP/S Freigaben fürs Internet entfernt werden.
Leere mal deinen Browsercache, dann siehstes auch.
Wenn dem nicht so ist, wird dir deine IPv6 eventuel lokal gerouted?
Beziehungsweise, hast du es auch wirklich von einen entfernten Rechner ausprobiert?
Was auch sein kann, du hast den Fernzugriff über myfritz.net zwar deaktiviert,
aber nicht die Fritz!Box-Freigaben unter:
Internet --> Freigaben --Reiter--> Fritz!Box-Freigaben
Wenn die deaktiviert sind ist die Box nur noch Lokal erreichbar.
Oder über Telefon: SIP:Telefonnummer@DeineFriz!Box.ip:5060
Oder über TR-069...
Oder über TR-104... TR-104? ???? Kenn ich noch gar nicht!
Für TR-104 gibt es noch nicht einmal einen WiKi-Eintrag.
Scheint es in meiner 7360SL nicht zu geben. Gerade die ar7.cfg danach durchsucht.
Jetzt wäre mal interessant zu Wissen, ob es nur solche Boxen betrifft.
 
Zuletzt bearbeitet:
http: <-- nicht https: und ja, entfernter Rechner, schon einmal in einem Labor Thread hier bestätigt.
 
Frage: Besteht ein Zusammenhang mit dem MyFRITZ!-Dienst?
Nach unserer Sichtung der Fakten nein. Es sind Angriffe auf Geräte erfolgt, auf denen der MyFRITZ!-Dienst zu keiner Zeit genutzt wurde.

Das wiederum finde ich sehr eigenartig und bringt nochmal die ursprüngliche Frage auf: Wie gelangt man zur aktuellen IP der ox ?
 
Hallo,
ggf. durch eine Art Bruteforce Attacke auf DynDNS-Anbieter? Einfaches Probieren der möglichen Namen? FritzBox.dyndns.com usw ... :noidea:
 
Halte ich für sehr unwahrscheinlich (s. Umfang der Versuche), aber natürlich theoretisch möglich.
In jedem Fall müßte eine Brute-Force-Attacke irgendwo (entweder bei AVM vor Bekanntwerden der Angriffe oder eben DynDNS-Diensten) nach meinem Verständnis deutlich erhöhten Traffic zur Folge gehabt haben.
Unter der Annahme, daß die Angriffe auf die Fritzboxen in Zusammenhang mit dem Mail-Account-Klau stehen, ist daß nach meinem Dafürhalten immer noch die entscheidende Frage: Woher bekomme ich die aktuell passende IP zu den Zugangsdaten ?
 
@Fritz: Labor Firmwares sind keine Release und es wird ausdrücklich darauf hingewiesen, dass die Benutzung auf eigene Gefahr erfolgt.
Ausserdem ist jeder Laborversionsbenutzer automatisch ein Betatester, also selbst Schuld, wenn was passiert.
 
@JohnDoe42:
Btw: man kann bei 1&1 die Inklusiv-Domain für den Service "1&1 HomeNet" nutzen, einen DynDNS-Service von 1&1. Den braucht man nicht in der Box zu konfigurieren, die Notwendigen Daten ziehst sich die Domain aus den Servern von 1&1 ;-)

[Vermutung]
Wenn ich eine Mailadresse bei 1&1 einrichte: [email protected] könnte man versuchen, über http://GratisDomain.de auf die Box zu gelangen. Diese Domain leitet bei eingerichtetem HomeNet auf https://u123456789.1u1home.de weiter ....
[/Vermutung]
 
Zuletzt bearbeitet von einem Moderator:
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.