[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Wir haben doch hier im Thread mit Digimops ein reales Opfer. Der wird dann doch sicher sagen können, ob er überhaupt SteuerungsApps am Smartphone jemals verwendet hat.
 
Das "Opfer" muss aber auch ehrlich sein, um eigene Fehler/Misskonfiguration zugeben zu können.
Ohne Digimops dass unterstellen zu wollen.

Beispiel, der Fachmann hat gesagt:
"Außerdem [...] ist das Passwort meiner Fritzbox 15 Stellen lang und nicht das gleiche wie das meines E-Mail-Accounts."
...sehr überzeugend.
Würde der zugeben, dass die "Kennwort vergessen" (Pushmail) Option bei ihm aktiv war/ist?
 
Scham ... wer kennt schon Foren wie dieses (stets "hilfsbereit" und tolerant ggü. DAUs) ? :p
 
Zwei:
- Entweder aus einer AVM App wurden die Daten abgegriffen. Hier wäre noch zu diskutieren wie das passieren kann/könnte, insbesondere welche Maleware schuld ist.
- Irgendeine FremdApp zur Steuerung ist bösartig und/oder Horneypot für Phister.

Ganz schön viel dänglische Buzz Words, was : )
 
Würde der zugeben, dass die "Kennwort vergessen" (Pushmail) Option bei ihm aktiv war/ist?

Ich vermute mal, diese Push-Option ist seit sie eingeführt wurde automatisch auf "aktiv" gesetzt, wenn sonstige Push-Mail vorher eingerichtet war.

Bei meinen Boxen war die "Kennwort vergessen"-Pushmail ohne mein zutun aktiviert!!! Habe diese aktive Option nur durch Zufall gesehen und natürlich gleich deaktiviert.
 
"Femaleware"
...sicher: Zalando, Mirapodo, Lush....

scnr
 
Zuletzt bearbeitet:
ot

Femaleware -> FritzBox in pink! :lach:

/ot
 
Insbesondere den Aspekt, das es scheinbar möglich ist, ein neues Telefon zu registrieren.
Warum auch nicht, oder soll dem Box-"Administrator" dies etwa verboten werden? :?

Das wiederum finde ich sehr eigenartig und bringt nochmal die ursprüngliche Frage auf: Wie gelangt man zur aktuellen IP der ox ?
Schon einmal darüber nachgedacht wie die 16Mio. E-Mailadressen samt Passwörter überhaupt ausgespäht wurden? Richtig viele sicherlich mittels Trojaner auf dem eigenen Rechner... Und? Macht es "klick"? ;)

Die anderen Möglichkeiten wurden ja schon genannt, einfach bei MyFritz einloggen oder, da der Angreifer Zugriff auf das Postfach hat, einfach nach PushMails durchsuchen... Ist also nun wirklich eher ein kleineres Problem an die IP-Adresse zu kommen. Auch das nachträgliche einschleusen eines Trojaners dürft bei einem entspr. "ungeschickt" bzw. unbedarft agierenden User kein größeres Problem darstellen wenn die Mailadresse bekannt ist... ;)

Typischerweise wechselt eine Box am DSL-Anschluß alle 24 Stunden die IP ...
Bei IP-Anschlüssen der Telekom nicht! Da ändert sich die IP-Adresse erst spätestens nach 180 Tagen (keine 24h Zwangstrennung mehr sondern 180 Tage Zwangstrennung), ähnliches bei den Kabelanbietern... Ganz zu schweigen davon dass man ja dank Trojaner immer auf dem aktuellen Stand ist was die IP-Adresse betrifft... ;)

Hier scheint es wiederum nicht so zu sein, ...
Vermutlich Trojaner (Keylogger)... Oder auch:
Da sogar Apps, die nicht von AVM kommen (aber nur reine Spekulation!)
Das Smartphone ist auch der ideale Anriffsvektor, ...


Frage: Wenn ich im WebIF den MyFritz Dienst deaktiviere, ...
Warum möchtest du denn MyFritz deaktivieren? Nimm einfach ein "anständiges" Passwort was vor allem nicht mit dem deines E-Mailkontos oder eines anderen Dienstes gleich ist. Denn ein anderer DDNS-Dienst schützt dich auch nicht wenn dem Angreifer deine E-Mailadresse samt Passwort bekannt ist, du das gleiche für die FB verwendest und dort auch PushMails der FritzBox auflaufen (samt evtl. "Kennwort vergessen" Funktion)...

Ein MITM-Angriff, vor allem bei Zugriff über öffentliche Zugänge, ist wie schon erwähnt ebenfalls denkbar dank der Zertifikate.

Ich finde den hier gut:
Der hat aber verdächtig viel auf dem Smartphone... ;)


TAE--->Dummes DSL-Modem (ohne Zugangsdaten)---> <untrust> Juniper Netscreen NS-5GT <trust> ---> Fritzbox über LAN1
............................................................................................................................ <trust> ---> GBit-Switch ---> PC und Co.
Was hat das mit dem Thema hier zu tun?
 
Damit der Hacker (von Inland/Ausland) über deine Fritz!Box telefonieren kann,
benötigt er:

Jein, um über die FBF zu telefonieren schon - aber wie wir in einem anderen Thread herausgefunden haben, braucht man das überhaupt nicht zum Telefonieren auf fremde Kosten.

Einmal Zugriff über Fernzugang, export der Einstellungen und man hat alle Kennworte/Zugangsdaten für die Telefonieanbieter und kann diese weltweit von jedem Internetzugang nutzen!
Ganz problematisch ist dabei tr069, weil die Betroffenen nie ein Kennwort für Internetzugang/Telefonieaccounts eingegeben haben und sich dadurch nicht bewusst sind, dass sie auch diese alle ändern müssen.
Ein geschickter Hacker löscht bei der Gelegenheit noch tr069 und die eingerichtete 2.PVC in der Exportdatei und spielt diese zurück. Dann kann er auch 1&1 Telfefonicaanschlussdaten überall nutzen.
 
@Andre:

War ich doch in der irrigen Annahme, dass 1&1 Registrationen mit Auslands IP blocked?
Und deswegen über die Fritz!Boxen telefoniert wird.

Aber du hast erschreckend Recht. Wenn die Exportdatei entschlüsselt werden kann.
Das macht die Sache auch nochmal Unberechenbarer.
 
Habt jemand den Heise-Thread durchgelesen ?
> So steht´s im Log:
>
> 01.02.14 03:09:28 Anmeldung des Benutzers Karin an der FRITZ!Box
> Benutzeroberfläche von IP-Adresse 31.6.47.220 gescheitert
> (falsches Kennwort).
> 01.02.14 03:09:58 Anmeldung des Benutzers skai an der FRITZ!Box
> Benutzeroberfläche von IP-Adresse 31.6.47.220.

Also kennen sie den Benutzernamen gar nicht, sondern nur das
Passwort.

Deutet für mich wieder in Richtung Sicherheitslücke bei AVM irgendwo.
 
@sf1975; Interessant ist die Tatsache, dass die OS 5.5 auch beim Fernzugriff die Benutzer über Dropdown anbietet. Ist bei der aktuellen 6.01 nicht so und das ist ein weiterer Angriffsvektor, der es einem Angreifer leichter macht.
 
Wenn die Passwörter bekannt sind, dann wurden diese sicherlich mit Trojaner ausgespäht. Genauso wie die 16Mio. Emailkonten-Daten, woher sollen die sonst kommen?
Also hatten die Angreifer noch einfacherer Spiel, die brauchten nicht mal Emailkonten geschweige die Arbeit mit dem Pushmails(Passwortreset) zu machen.
 
Es bleibt nach meinem Verständnis (möglicherweise bin ich allerdings auch zu lern- bzw. einsichtsresistent) die Antwort auf die Frage offen:

Woher bekomme ich die (tages-) aktuelle IP der Box ?

Offensichtlich passieren die Angriffe ja äußerst gezielt (s. Log oben), d.h. es wird eine IP userkontenzahlmal mit einem PW probiert.
Wenn man die Frage nach der PW-Ermittlung mal hintenanstellt (weil dafür über Mail-Hack, Apps und/oder meinetwegen auch Trojaner genug Zeit ist), ist dies die meiner Meinung nach interessanteste Frage, eben weil sie in vielen Fällen (nein, kein Kabel, nein, kein Telekom usw.) äußerst zeitkritisch ist.
Und wenn der Weg über MyFritz (noch) nicht belegt ist: Woher kommt dann die IP ?
 
Status
Für weitere Antworten geschlossen.

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,562
Mitglieder
373,729
Neuestes Mitglied
ChTh
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.