Warum updated 1und1 das Fritz OS?

FritzTheCatphone

Neuer User
Mitglied seit
21 Jan 2020
Beiträge
28
Punkte für Reaktionen
3
Punkte
3
Hallo,

Ich nutze noch eine ältere Fritzbox 7560 - heute heute nacht kam von MyFritz per E-Mail die Info über ein Update (Updates auf automatisch):

Das FRITZ!OS Ihrer FRITZ!Box 7560 (UI) wurde aktualisiert.

Das Update erfolgte durch Ihren Internetanbieter.
Bisher verwendet: FRITZ!OS-Version 07.29

Jetzt installiert: FRITZ!OS-Version 07.30

Muss ich mir sorgen machen? End of cycle oder warum updated jetzt 1und1 das FritzOS?
Haben andere User auch das Update vom ISP bekommen?
 
[…] oder warum updated jetzt 1und1 das FritzOS?
Darum:

Haben andere User auch das Update vom ISP bekommen?
Klar.
 
Ja dass es ein Update für eine Sicherheitslücke gibt verstehe ich.
Die Frage war warum updated *1und1* also der ISP das? und nicht AVM? Ist das früher auch schon vorgekommmen?
Das will ich eigentlich nicht - weiterer Angriffsvektor, dass der ISP das macht. Ich erinnere mich auch nicht 1und1 die Ermächtigung gegeben zu haben software auf meinem Router zu installieren?? Die Box hat zwar von einem früheren Vertrag (lange ausgelaufen) ein 1und1 Branding, dachte aber nicht dass sich das so auswirkt...

Wenn ich jetzt das Factory image einspiele kommen dann die Updates von AVM oder wieder von 1und1?
 
Zuletzt bearbeitet:
Wie kommst du drauf, dass das 1&1 macht? Die Fritzbox selbst holt sich die Updates bei AVM - und je nach Klassifizierung wohl auch bei abgeschaltetem Auto-Update.
 
Die Frage war warum updated *1und1* also der ISP das? und nicht AVM? Ist das früher auch schon vorgekommmen?
Ja klar, schon lange. Sogar länger als es bei AVM die automatische Update-Funktion gibt. 1und1 betreibt dafür sogar extra einen eigenen Server (http://acsfwdl.1und1.de/) der die Firmware-Images von AVM für die Updates bereithält, die 1und1 bei seinen Kunden per TR069 anstößt. Ob "avm" oder "1und1" Branding spielt dafür auch keine Rolle.

Das will ich eigentlich nicht
Dann musst du halt TR069 ausschalten. Ist nun wahrlich nicht neu, wurde hier im Forum schon oft hoch- und runterdiskutiert.

Wenn ich jetzt das Factory image einspiele kommen dann die Updates von AVM oder wieder von 1und1?
Mit dem Firmware-Image hat das nichts zu tun (da gibt es keine Unterschiede zwischen den 1und1- und AVM-Images) sondern mit der Konfiguration. Also "Factory-Image" einspielen kannst du dir sparen…



Edit:
Die Fritzbox selbst holt sich die Updates bei AVM
Nein, nicht nur, siehe oben. Auch 1und1 stößt per TR069 Firmware-Updates an. Und wie oben schon steht länger als es bei AVM überhaupt die AutoUpdate-Funktion gibt.
 
Guckst du unter Internet > Zugangsdaten > Anbieterdienste :
Automatische Updates zulassen
Ist diese Einstellung ausgewählt, kann der Internetanbieter das FRITZ!OS dieses Gerätes bei Bedarf automatisch aktualisieren, um das Dienstangebot zu verbessern.
 
Weil es Vertragsbestandteil und so in der Leistungsbeschreibung unter Punkt 2.8, Stichwort TR-069 aufgeführt ist.


interessanter Link, nur beschreibt der Punkt 2.8 die Innbetriebnahme von Geräten.
durchsucht man das Dokument weiter nach TR-069 findet man 3.3 noch eine weitere Stelle:

1&1 führt in unregelmäßigen Abständen eine auto-
matische Aktualisierung der Firmware der von 1&1
zur Verfügung gestellten Hardware durch
. Dies er-
folgt unter Nutzung des TR-069 Protokolls. Die Up-
dates dienen u. a. dazu, die Service-Qualität, sowie
die optimale Funktionalität im Hinblick auf neue Ser-
vices sicherzustellen
. Der Kunde erklärt sich mit der
Durchführung dieser Updates einverstanden. Dem
Kunden ist bekannt, dass die Funktionalität der
Hardware während der Dauer des Firmware-Up-
dates kurzfristig eingeschränkt sein kann. Sollte kein
Update gewünscht werden, kann diese Funktion sei-
tens der Kunden ausgeschaltet werden. 1&1 weist
darauf hin, dass bei Störungen 1&1 von jeder Haf-
tung auszuschließen ist, falls die Aktualisierungs-

Der Absatz enthält 2 Eingrenzungen wann 1und1 die Firmware updated:
A) Wenn die Hardware von 1und1 "zur Verfügung" gestellt wurde. Bei einem 5 Jahre alten Router der nihct aus dem Vertrag stammt ist das aber wohl nicht der Fall oder?
B) Eine Sicherheitslücke zu schließen fällt nicht unter "Service-Qualität" oder "optimale Funktionalität im Hinblick auf neue Services"

Mir geht es dabei nicht darum, dass eine Sicherheitslücke nicht geschlossen werden soll, sondern um folgendes:

Man bezahlt Geräte auf eigene Kosten, die juristisch von schwammigen Vertragsbestimmungen gesteuert werden, in die dann hinheininterpretiert wird was jemand will. Aus einem Sicherheitsupdate wird dann eine Verbesserung "der Servicequalität" oder "optimale Funktionalität".
Es entsteht der Eindruck dass der ISP machen kann was er will. Und wenn ich das richtig verstanden habe selbst dann wenn ich die Box ungebrandet im Laden gekauft hätte.

Nur wenn ich TR-069 ausschalte gibt es dann wirklich keinerlei Zwangsupdates mehr, oder kommt dann wieder eine andere Vertragsbestimmung aus einem anderen (noch mir unbekannten Dokument) zum Tragen?
 
Sei doch froh, dass das Loch geschlossen wurde, bevor irgendwelcher Schaden entstand. Wozu diese Paragraphen-Reiterei :rolleyes: ?
 
  • Like
Reaktionen: JanVoIP

Ich danke Dir für diesen sehr informativen Post.

Aber warum werden manche Updates (Ich höre heute ehrlich gesagt zum ersten Mal von TR-069) von AVM eingespielt und andere vom ISP?
Da 1und1 die Images ja eh von AVM bekommt wäre es dann nicht logischer wenn das in der täglichen Updateroutine gleiche Runtergeladen wird?
Anscheinend hat das mit 1und1 ja auch 3 Tage gedauert bei mir erst in der Nacht zum 7.9....
Für mich kläge es irgendwie viel logischer wenn der Router in einem Intervall wie 1mal am Tag checke seite X auf Updates nach Updates auf einem AVM Server checkt...

Wenn TR-069 ageschaltet wird kommen dann gar keine Zwangsupdates oder gibt es dann die nächste Hintertür mit im Falle von "Systemkritischen Updates" gilt aber Fußnote 23 des YPS-Protokolls?

-- Zusammenführung Doppelpost by stoney


Uff.. Wenn ich ehrlich bin finde ich Poster wie Dich schrecklich. Erst wird nicht gelesen dann kommt: "Wie kommst du drauf, dass das 1&1 macht?". Dann nachdem es klar ist dass 1und1 das gemacht hat kommt "Was soll die Paragrafenreiter... blabla".
Menschen haben Fragen, zu Themen die sie interessieren und betrachten Dinge aus einem vielleicht anderen Blickwinkel als Du, Die brauchen da gar keinen Daumen hoch von Dir, die sind da auch völlig zufrieden ohne Deine Zustimmmung.

Wenn aus der Ferne auf DEINEM Gerät? Software installiert wird ist das zumindestens mal überlegenswert ob das alles immer nur gut ist...
 
Zuletzt bearbeitet von einem Moderator:
Aber warum werden manche Updates (Ich höre heute ehrlich gesagt zum ersten Mal von TR-069) von AVM eingespielt und andere vom ISP?
Ganz einfach: "Wer zuerst kommt, mahlt zuerst". Zumindest in den Fällen wo sowohl die AVM eigene AutoUpdate-Funktion als auch TR-069 aktiviert ist (und der jeweilige Provider dies auch unterstützt).

Da 1und1 die Images ja eh von AVM bekommt wäre es dann nicht logischer wenn das in der täglichen Updateroutine gleiche Runtergeladen wird?
Man kann auch nur eine von beiden Varianten aktiviert lassen, man hat die Wahl.

Wenn TR-069 ageschaltet wird kommen dann gar keine Zwangsupdates oder gibt es dann die nächste Hintertür […]
Ja, die ggf. noch aktivierte AutoUpdate-Funktion von AVM ist dann die nächste Hintertür (für die es wiederum in FRITZ!OS auch 2 versch. "Stellschrauben" gibt)…
 
Das will ich eigentlich nicht - weiterer Angriffsvektor, dass der ISP das macht. Ich erinnere mich auch nicht 1und1 die Ermächtigung gegeben zu haben software auf meinem Router zu installieren?? Die Box hat zwar von einem früheren Vertrag (lange ausgelaufen) ein 1und1 Branding, dachte aber nicht dass sich das so auswirkt...

Wenn ich jetzt das Factory image einspiele kommen dann die Updates von AVM oder wieder von 1und1?
Du willst also nicht, dass dein Provider auf deinem Router …

Dein ISP kann bzw. muss es können:
- alle deine Passworte kennen und sehen (werden ja nach der Transportverschlüsselung immer im Klartext übertragen)
- kann alle deine E-Mails "mitlesen" (zumindest, wenn du selbige nicht mit S/MIME oder GnuPG verschlüsselst),
- sieht die DNS-Auflösung aller jemals von dir angerufenen Ziele,
- zumindest im Störungsfall per TR069 Werte und Einstellungen auf deinem Router sehen und verändern,
- (wie NDiIPP schon schrieb) Softwareupdates, Neustarts usw. ausführen (bzw. anstoßen),
- und selbstverständlich auch alle deine Telefonate mithörten (nein, macht er natürlich nicht, könnte er aber!).
- usw.

Das alles kann (rein technisch) dein Provider und er muss auch rein technisch dazu in der Lage sein.
Fazit: wenn du nicht deinem ISP vertraust - wem dann?

Ja, du kannst bestimmte Dienste wie eben das TR069 deaktivieren. Aber ob das für User, welche hier bestimmte Fragen stellen … wirklich gut ist, wage ich zu bezweifeln.
Und wenn du deinem Provider kein Vertrauen schenken willst, dann solltest du dir besser einen anderen Provider suchen. Nur welchen - der nächste kann das nämlich genauso gut.

Ich verstehe auch nicht, welchen Vorteil es bringen soll, wenn du versuchst, deinen ISP auszusperren und die automatischen Updates von Hersteller ausführen lässt. Alles andere von den o.g. Punkten muss der ISP können. Hier ist also der Hersteller genau "einer mehr", der auf deinen Router kann.

Und, obwohl ich persönlich - weil ich wegen langer einschlägiger Berufserfahrung auf dem Gebiet der Fernmeldetechnik und IT-Sicherheit das alles gut einschätzen kann - meinen Internetrouter bestmöglich "verrammele" und Updates bei mir und vielen weiteren von mir betreuten Routern manuell durchführe, empfehle ich den Nutzern grundsätzlich das automatische Update immer zu aktivieren. Ob du das vom IPS oder vom Hersteller machen lässt, sei dir überlassen. Hauptsache, es passiert immer zeitnah! Nichts ist gefährlicher, als Updates zu verschlampen!

Und JA, wenn du dir händisch das Update von AVM einspielst - und die Einstellungen nicht veränderst (siehe oben!) - werden der ISP oder der Hersteller auch weiterhin die Updates einspielen. Und das ist auch gut so!

vy 73 de Peter
(und sorry für die klaren Worte!)
 
  • Like
Reaktionen: JanVoIP und zorro0369
Ganz einfach: "Wer zuerst kommt, mahlt zuerst". Zumindest in den Fällen wo sowohl die AVM eigene AutoUpdate-Funktion als auch TR-069 aktiviert ist (und der jeweilige Provider dies auch unterstützt).


Ja, die ggf. noch aktivierte AutoUpdate-Funktion von AVM ist dann die nächste Hintertür (für die es wiederum in FRITZ!OS auch 2 versch. "Stellschrauben" gibt)…

Ja die Auto-Update Funktion von AVM ist klar, das ist ja keine Hintertür. Nur mit den 2 verschienden Stellschrauben. So aus dem Ärmel geschüttelt (bin gerade nicht am Router) War die Eisntellung so ungefähr unter System/Updates.. Welche sonst noch?

@Peter_Lehmann: Vorab erst führst du ewig aus, das man unbedingt alles anlassen soll und dann kommt: Dass du selbst die Updates sogar manuell installierst ;)- mich hat eher die mit 3 Tagen verspätung erfolgte Beglückung durch 1und1 gestört.

Du willst also nicht, dass dein Provider auf deinem Router …

Dein ISP kann bzw. muss es können:
- alle deine Passworte kennen und sehen (werden ja nach der Transportverschlüsselung immer im Klartext übertragen)
- kann alle deine E-Mails "mitlesen" (zumindest, wenn du selbige nicht mit S/MIME oder GnuPG verschlüsselst),
- sieht die DNS-Auflösung aller jemals von dir angerufenen Ziele,
- zumindest im Störungsfall per TR069 Werte und Einstellungen auf deinem Router sehen und verändern,
- (wie NDiIPP schon schrieb) Softwareupdates, Neustarts usw. ausführen (bzw. anstoßen),
- und selbstverständlich auch alle deine Telefonate mithörten (nein, macht er natürlich nicht, könnte er aber!).
- usw.

Das alles kann (rein technisch) dein Provider und er muss auch rein technisch dazu in der Lage sein.
Fazit: wenn du nicht deinem ISP vertraust - wem dann?

Vodafone als Provider sitzt rechtlich in England - einem der größten Überwachungstaaten dieser Erde. Die Telekom ist zu weiten Teilen in Staatsbesitz und entlässt Mitarbeiter die nicht richtig Gendern. Nein ich vertraue keinem ISP sonderlich ist mir eher zu mächtig. Grundsätzlich sollte man technologische "Zwangslagen" die durch Nutzung einer Technologie entstehen nicht mit "da habe ich vertrauen zu" verwechseln. Es ist ein Zwangslage, keine freie Entscheidung. Und sicher keine ideale Welt, die einfach nur genial ist, dass alle Daten in einem gigantischen Honeypot anfallen.

Zu den Punkten:
- Nein er sieht nicht meine Passwörter: VPN
- DNS: nein VPN
- Emails: nein VPN. Verschlüsselung wäre noch besser (dann würde auch der VPN Anbieter es nicht mehr sehen) aber leider nicht verbreitet.
- TR-069 hatten wir ja gerade also ja falls eingeschaltet nein falls nicht.

Nur bei einem liegst du falsch: Doch deine Telefonate werden überwacht. Von der NSA ist es seit dem 2. Weltkrieg in D immer Gesetz gewesen...
Der BND darf es eigentlich nicht aber den Internetverkehr hat er ja rechtswidrig auch schon überwacht - siehe Prozesse der Decix Gmbh gegen den BND vor dem Verwaltungsgericht.... Wenn man dann noch weiß dass der BND selbst überteuerte Neue-Markt-Aktien vor 20 Jahren gekauft hat um an Spracherkennungssoftware zu kommen (Lernaut & Hauspie) kann man sich ja seinen Teil denken. Der BND hat auch viel mehr "große Dinger" gedreht als sich die meisten so vorstellen....

Im Fazit: Nein das meiste muss er nicht können siehe meine Kommentare... Ansammlungen von derartiger Macht sind nie gesund.
Viele Dinge sind technologisch so, aber das heißt nicht dass sie irgendwie gut für dich wären. Weiß nicht warum sich die Menschen sich Dinge immer als "gut verkaufen" auch wenn sie sehr schlecht für sie sein können - nur weil sie nichts direkt dagegen machen können. Als ob Dinge zu denen sie gezwungen werden automatisch gut für sie sind. Habe ich nie verstanden. Das eine hat ja mit dem anderen nichts zu tun.

Du brauchst Dich für gar nichts enschuldigen: Das ist eine Diskussion auf fachlich gutem Level wie ich finde und so sollte es sein man hat ja unterschiedliche Ansichten und jeder soll die auch frei äußern..

Alles Gut also
 
Zuletzt bearbeitet:
  • Haha
Reaktionen: KunterBunter
Leider mußte ich heute feststellen, daß die Einstellung der Fritzbox 7590
"Updates auf neue FRITZ!OS-Versionen dürfen ohne Anmeldung von anderen Geräten aus dem Heimnetz angestoßen werden." trotz Abwahl (leeres Kästchen) stattgefunden hat.
Ich hatte durch ein Fritzfon C6 aus Versehen das Update "angestoßen".
Zum Glück funktioniert alles, und es werden auch die Positionen "DSL-Informationen/Störsicherheit", die ich schon vermißt hatte, wieder angezeigt.
Also, alles im grünen Bereich. Die Entfernung zur Vermittlungsstelle hat sich wieder um 10m verkürzt, und das Spektrum sieht phänomenal aus. Hoffentlich ist es nicht "getürkt", (wie seinerzeit der Schachroboter)!
 
  • Like
Reaktionen: FritzTheCatphone
Ja die Auto-Update Funktion von AVM ist klar, das ist ja keine Hintertür.
Wenn du das so siehst, ist das AutoUpdate über TR-069 eigentlich auch keine Hintertür. Lässt sich ja (mittlerweile) ebenfalls ganz regulär im WebIf ein-/ausschalten.

Nur mit den 2 verschienden Stellschrauben. So aus dem Ärmel geschüttelt (bin gerade nicht am Router) War die Eisntellung so ungefähr unter System/Updates.. Welche sonst noch?
Unter "Internet > Zugangsdaten > AVM-Dienste", da kann man das quasi noch eine Ebene höher (de)aktivieren.

Vodafone als Provider sitzt rechtlich in England - einem der größten Überwachungstaaten dieser Erde.
Den Vertrag schließt man (je nach Anschluss) mit einer der 3 Töchtern mit Sitz in DE ab.

Die Telekom ist zu weiten Teilen in Staatsbesitz und entlässt Mitarbeiter die nicht richtig Gendern.
Gibt es dazu einen Link/Quelle?
 
- Nein er sieht nicht meine Passwörter: VPN
- DNS: nein VPN
- Emails: nein VPN. Verschlüsselung wäre noch besser (dann würde auch der VPN Anbieter es nicht mehr sehen) aber leider nicht verbreitet.
Bei VPN ist nur der Transportweg verschlüsselt. Für jemanden zwischen Deinem VPN-Client und dem VPN-Server sind die übertragenen Daten nur Rauschen - es sei denn, Verschlüsselung und Schlüssel sind schwach.
Ab dem Endpunkt (der VPN-Server) sind die Daten dann aber wieder lesbarer - Du hast somit Deine Surf-Spuren von Deinem ISP an einen anderen (ebenso zentralen) Ort verlagert.

Du hast also kein Vertrauen zu einem ISP (der sich in Deutschland und der EU an bestimmte Gesetze halten muss - auch Vodafone, deren Hauptsitz in UK ist & das Deutschlandgeschäft von einer *deutschen* Tochtergesellschaft betreibt), aber zu einem VPN-Anbieter, der alles was Du im Internet machst, auf einem Silbertablett geliefert bekommt.

Nur bei einem liegst du falsch: Doch deine Telefonate werden überwacht. Von der NSA ist es seit dem 2. Weltkrieg in D immer Gesetz gewesen...
Zumindest die anlasslose Vorratsdatenspeicherung (wer hat wann mit wem wie lange telefoniert?) ist nun richterlich bestätigt verfassungswidrig. Bei bestimmten Verbrechen kann eine solche Speicherung richterlich angeordnet werden, allerdings nur bei konkretem Verdacht und auf die entsprechenden Verdächtigen beschränkt.
Der BND darf es eigentlich nicht aber den Internetverkehr hat er ja rechtswidrig auch schon überwacht - siehe Prozesse der Decix Gmbh gegen den BND vor dem Verwaltungsgericht....
Dafür gab's auch einen richterlichen Rüffel :) .
Wenn man dann noch weiß dass der BND selbst überteuerte Neue-Markt-Aktien vor 20 Jahren gekauft hat um an Spracherkennungssoftware zu kommen
(Lernaut & Hauspie)
Ich kann mich dunkel an eigene Spracherkennungssoftware-Versuche erinnern ... die Software war recht gut und das auf bei weitem weniger leistungsfähigeren Rechnern als heute.
kann man sich ja seinen Teil denken. Der BND hat auch viel mehr "große Dinger" gedreht als sich die meisten so vorstellen....
Dafür ist der BND da - Informationsbeschaffung für die Regierung, auch heimlich. Auf gefilterte Nachrichten von "Freunden" sollte man sich nicht verlassen, sonst geht's der Regierung wie dem dt. Michel nach dem Lesen eines "meinungsBILDenden" Boulevard-Blattes - man bekommt nur zu lesen, was das Denken in eine bestimmte Richtung schubst.
 
  • Like
Reaktionen: JanVoIP
@FritzTheCatphone
Wenn du dich mit Routern, Internet u.s.w. auskennst (du erwähntest VPN) bist du ja schon deutlich weiter als ein Otto-Normaluser.
Da verwundert es es ein bisschen, dass du dich noch nicht mit dem Einstellungs-Menü der FritzBox vertraut gemacht hast.
Man kann einmal die Updatefunktion von AVM ("AVM-Dienste") einstellen und zum anderen die "Anbieter-Dienste (TR-069)" des ISP. Die Anbieter-Dienste gibt es aber nur, wenn der ISP diese auch unterstützt (z.B. 1&1-ja, Telekom-nein).
Über TR-069 können auch bestimmte Einstellungen getätigt werden (Stichwort: "Start Code"). Das ist eine feine Sache für alle Otto-Normaluser, die sich nicht so auskennen und "einfach nur Internet haben wollen", aber das ganze auch zuverlässig und sicher.

Ich richte meine 1&1 Box mit "Start Code" ein, dann werden alle Auto-Updatefunktionen, "AVM-Dienste" und "Anbieter-Dienste" deaktiviert.
Trotzdem habe ich meine Box eher aktualisiert als es ein "Auto-Update" könnte, weil ich mich bewusst drum kümmere!
 

FritzTheCatphone

Sorry, du machst dich hier mit deiner Lamentiererei lächerlich... Hast mit VPN alles abgesichert, aber hörst von TR-069 zum ersten Mal...? Und DEINE FB hast du wunderbar im Griff. Aber wo DU die Einstellung ändern kannst hast DU nicht gefunden...? Ich habe es dir in # 7 schon erläutert...
Also, entweder Updates zulassen, oder anders informieren...
ICH brauche keine automatischen Updates, mit Hilfe dieses Forums bin ich viel schneller...
 
Zuletzt bearbeitet:
"Wir sind immer die Schnellsten - während andere noch fallen, liegen wir schon auf der Schnauze"
Diesen Satz hatte einer meiner früheren Chefs an die Bürowand angepinnt.
Wir wollten natürlich nicht auf die Schnauze fallen und haben deshalb die allfälligen Updates der MS- und der Firmensoftware möglichst etwas später installiert.
Diese Gewohnheit will ich nicht unbedingt aufgeben, und bisher habe noch keine schlechten Erfahrungen damit gemacht.
Vor allem ist es viel beruhigender, wenn man zuerst an den Erfahrungen der "Schnellsten" teilhaben kann.
 
  • Like
Reaktionen: FritzTheCatphone
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.