AVM - Nervige Radarerkennung auf 5GHz

[OldGerald]

Ich habe nun ein Downgrade auf FritzOS durchgeführt um der Sache genauer auf den Grund zu gehen und meine ursprüngliche Vermutung scheint sich bestätigt zu haben.

Verhalten unter FritzOS 7.57:

• Kontinuierliche Radarerkennung auf den Kanälen 100-128.
• Bei jeder protokollierten Radarerkennung kommt es zu einem temporären Verbindungsabbruch bei allen verbundenen Geräten, auch wenn die aktiven Kanäle gleich bleiben.

Verhalten unter FritzOS 7.56:

• Die dauerhafte Radarerkennung beschränkt sich nur auf den Kanal 128.
• Zwar wird bei Radarerkennung protokolliert, dass ein automatischer Kanalwechsel nötig ist, aber solange die FritzBox auf freien Kanälen sendet, wird die Verbindung nicht unterbrochen.

Basierend auf meinen Beobachtungen bin ich fast sicher, dass das beschriebene Problem durch das Update auf FritzOS 7.57 hervorgerufen wurde. Das Dilemma ist, dass FritzOS 7.57 eine kritische Sicherheitslücke behoben hat. Nun stehe ich vor der Entscheidung, entweder mit einer beeinträchtigten WLAN-Verbindung oder einem potenziellen Sicherheitsrisiko zu leben bis AVM das Problem löst.

Ich habe außerdem auch ein Ticket bei AVM eröffnet.

 

[Engaged]

Beachte dass die sicherheitslücke so schwer ist, dass man nicht einmal selber irgendetwas an Ports oder so öffnen muss! 😅

 

[OldGerald]

Wenn ich es richtig verstanden hab muss zur Ausnutzung aber Schadsoftware auf dem Computer bzw. im Browser ausgeführt werden, danach kommt der Angreifer über das interne Netzwerk ohne Authentifizierung auf die FritzBox.

Mir ging es eigentlich hauptsächlich darum dem Problem endlich mal auf den Grund zu gehen. Es hat mir einfach keine Ruhe gelassen

Ich finde es übrigens absolut inakzeptabel, dass so eine Änderung im Changelog dann als "Stabilität und Sicherheit erhöht" abgespeist wird. Ich will als Benutzer nicht selbst Detektiv spielen müssen um zu sehen was tatsächlich geändert wurde. Gebt uns doch einfach eine detaillierte Beschreibung aller Änderungen...

 

[riversource]

Wenn ich es richtig verstanden hab muss zur Ausnutzung aber Schadsoftware auf dem Computer bzw. im Browser ausgeführt werden, danach kommt der Angreifer über das interne Netzwerk ohne Authentifizierung auf die FritzBox.

Nein. Es reicht, im Browser eine präparierte Webseiten aufzurufen.

Hast du denn wieder auf 07.57 aktualisiert? Millionen Nutzer haben das Problem nicht, also kann es das Update alleine nicht sein.

 

[OldGerald]

Nachdem ich meinen Beitrag verfasst hatte, habe ich den Artikel von Heise nochmal herausgesucht: Fritzbox Sicherheitsleck analysiert - Risiken und Gegenmaßnahmen.

Die identifizierte Sicherheitslücke befindet sich im Webserver der FritzBox. Dies stellt die eigentliche Exploitation dar. Entweder ist die Weboberfläche extern zugänglich, wie z.B. über MyFritz!, oder der Angreifer muss Zugang zum internen Netzwerk haben. Der Zugang könnte beispielsweise über präparierte Webseiten oder Apps erfolgen - dieser Vorgang wird als "Delivery" bezeichnet. Dass die Delivery über einen Browser erfolgen kann, habe ich bereits im meinem vorherigen Beitrag erwähnt und bin mir dieser Tatsache bewusst.

Höchstwahrscheinlich ist nicht jeder der anderen Millionen Benutzer betroffen, da sie nicht alle wie ich in unmittelbarer Nähe zu einem Flughafen wohnen. An meinen vorherigen Wohnsitzen ist mir z.B. nie aufgefallen, dass ich jemals eine Radarerkennung im Log hatte. Ich habe im Internet mindestens vier Threads gefunden, die alle nach dem Update auf 7.57 enstanden sind und von genau diesem Problem berichten.

Zur Klarstellung bezüglich des Updates: Ich habe es unter Werkseinstellungen mit der Version 7.57 getestet. Das beschriebene Problem trat unmittelbar auf. Mit den Werkseinstellungen unter Version 7.56 hingegen trat dieses Problem nicht auf. Dadruch kann ich zu der eindeutigen Schlussfolgerung kommen, dass es an dem Update liegen muss.

Ich habe jetzt jedenfalls den Fernzugriff deaktiviert. Dafür ist für mich das Risiko so weit minimiert, dass ich mit der Sicherheitslücke leben kann. Im Gegenzug habe ich dann wenigstens eine funktionierende WLAN Verbindung die nicht durchgehend alle 15 bis 30 Minuten abbricht.

 

[riversource]

Dadruch kann ich zu der eindeutigen Schlussfolgerung kommen, dass es an dem Update liegen muss.

Nein, dafür ist eine Stichprobe zu wenig. Wenn du dich durchs Netz suchst: Es gibt haufenweise Berichte von Fritzbox-Nutzern, die ein spezifisches Problem durch einen Downgrade lösen konnten und auch nach einem erneuten Update das alte Problem nicht mehr reproduzieren konnten, unabhängig davon, zu welchem Zeitpunkt Werksrests ausgeführt wurden. Von daher ist es durchaus denkbar, dass das Problem nach einem erneuten Update nicht wieder auftritt.

 

[OldGerald]

Ich verstehe deinen Punkt, bin aber anderer Meinung.

Ich bin überzeugt davon, dass ein weiteres Update bzw. Zurücksetzen nicht zum Erfolg führen wird.

In der alten Version wird das Radar ausschließlich auf dem Kanal 128 detektiert. Doch in der neuen Version zeigt es sich auf sämtlichen Kanälen von 100 bis 128. Alleine das ist für mich schon ein Anzeichen, dass in der aktuellen Version etwas nicht optimal umgesetzt wurde.

Die typische Bandbreite eines Radarsignals liegt zwischen 2 und 30 MHz, also ein bis zwei 5GHz WLAN Kanälen, je nach Überlappung. Außerdem werden in Deutschland im 5GHz WLAN Frequenzbereich nur folgende Frequenzen für Radar benutzt:

• Für Flugsicherungsradar: 5,25 GHz bis 5,35 GHz, also Kanal 52 bis 64
• Für TDWR: 5,47 GHz bis 5,725 GHz, also Kanal Kanal 108 bis 140

Eine Radarerkennung auf Kanal 100 und 104 sollte somit gar nicht möglich sein. Entweder jemand in meiner Nähe sendet illegalerweise Radarwellen aus oder was auch immer AVM in dem neuen Update implementiert hat funktioniert einfach nicht richtig.

Davon mal abgesehen sollten durch die Radarerkennung keine Verbindungsabbrüche erzeugt werden wenn der Kanal nichteinmal gewechselt wird.

Bezüglich der "Stichprobe", solange mir niemand einen konkreten Gegenbeweis liefert – beispielsweise einen Benutzer, der ebenfalls von Radarerkennung betroffen ist, jedoch ohne Verbindungsabbrüche – halte ich meine These auf Grundlage der von mir dargelegten Analyse für gültig.

 

[norKoeri]

Fernzugriff deaktiviert. Dafür ist für mich das Risiko so weit minimiert, dass ich mit der Sicherheitslücke leben kann.

Angeblich klappt das auch ohne Fernzugriff. Solch böse Webseiten können auch Werbe-Einblendungen sein, also sich in die Werbung eingekauft haben. Daher mein Tipp: IP-Adresse der FRITZ!Box auf was seltsames ändern (weg von 178, z. B. 177 und weg von 1, z. B. 254) und nicht die FRITZ!Box selbst als DNS-Server aussenden, z.B. Cloudflare-DNS for Families:

fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkeinstellungen → (Taste) weitere Einstellungen → (Taste) IPv4-Einstellungen: IPv4-Adresse auf 192.168.177.254 und Lokaler DNS-Server auf 1.1.1.3. Und eine Seite wieder zurück über (Taste) IPv6-Einstellungen → Lokaler DNSv6-Server auf 2606:4700:4700::1113.

Nachteil: Die FRITZ!Box macht so nur noch selbst DoT, aber nicht für Deine Heimgeräte.
Nachteil: Es ist einfach nur Security through obscurity …
Nachteil: fritz.box klappt nicht mehr, Du musst jetzt 192.168.177.254 nehmen. Aber genau das ist der Trick.

 

[riversource]

Zum einen ist Radar ja nicht die einzige bevorrechtigte Anwendung, vor allem nicht in der Nähe eines Flughafens. Luft-zu-Boden Kommunikation arbeitet ebenfalls in dem Bereich.

Zum anderen endet das Radarsignal nich hart an der Kannte des Nutzsignals. Adjacent Channel Störungen ragen über mehrere Nachbarkanäle hinweg. Wenn du also tatsächlich in der Nähe einer Radarquelle wohnst, ist die Erkennung der neuen Firmware jedenfalls plausibler, als die alte.

Bezüglich der "Stichprobe", solange mir niemand einen konkreten Gegenbeweis liefert – beispielsweise einen Benutzer, der ebenfalls von Radarerkennung betroffen ist, jedoch ohne Verbindungsabbrüche – halte ich meine These auf Grundlage der von mir dargelegten Analyse für gültig.

Das ist ja Unsinn. Radarerkennungen ohne Verbindungsabbrüche darf es nicht geben. Wenn etwas hinterfragt werden muss, dann ist es die Erkennung auf ungenutzten Kanälen - wobei für das WLAN Signal der Box das gleiche gilt, wie für das Radarsignal: es endet nicht hart an der Kanalgrenze.

Wie gesagt, Radarerkennungen gibt es bei vielen Nutzern, ohne dass sich durch das Update was verschlimmert hätte. Das allein kann es nicht sei, es müssen besondere Randbedingungen hinzukommen. Echte Radarsignale in der Nähe können eine solche Bedingung sein. Aber dann muss man in Betracht ziehen, dass es vielleicht kein Bug ist. Jedenfalls kann und darf das kein Grund sein, wichtige Sicherheitspatches auszulassen! Das wäre grob fahrlässig, äußerst leichtsinning und einfach nur dumm.

 

[OldGerald]

Das ist ja Unsinn. Radarerkennungen ohne Verbindungsabbrüche darf es nicht geben. Wenn etwas hinterfragt werden muss, dann ist es die Erkennung auf ungenutzten Kanälen - wobei für das WLAN Signal der Box das gleiche gilt, wie für das Radarsignal: es endet nicht hart an der Kanalgrenze.

Wieso soll es Radarekennung ohne Verbindungsabbrüche nicht geben? Wenn meine FritzBox auf freien Kanälen funkt, wieso wird dann die Verbindung unnötigerweise abgebrochen?

Und nein es ist nicht plausibel, dass durch ein Signal welches <30 MHz breit ist in einen Bereich von insgesamt über 200 MHz eingestrahlt wird.

Bezüglich der Randbedingungen: Ich habe doch am gleichen Tag hintereinander beide Versionen getestet und ein unterschiedliches Ergebnis festgestellt. Sollen sich die Randbendingen zufälligerweise genau zum Zeitpunkt des Downgrades verändert habe? Zusätzlich hatten wir in der Zeit vor dem Update auch nie Probleme.

Bezüglich der Fahrlässigkeit: Welche Wahl hab ich denn? Unter diesen Umständen ist für mich mit Version 7.57 nur das 2,4 GHz Netz benutzbar. Wenn hier alle unsere 10 Geräte verbunden sind bricht der Durchsatz pro Gerät auf 5 MBit/s ein. So können wir nicht arbeiten. Somit bleibt für mich aktuell einfach nur das Risiko in Kauf zu nehmen, da für mich mit der neuen Version die FritzBox komplett nutzlos ist. Im Risikomanagement nennt sich das Risk Retention und es ist manchmal einfach die einzige Option.

 

[riversource]

Wieso soll es Radarekennung ohne Verbindungsabbrüche nicht geben? Wenn meine FritzBox auf freien Kanälen funkt, wieso wird dann die Verbindung unnötigerweise abgebrochen?

Weil eine Radarerkennung zwangsläufig zu einer Veränderung der Kanalkonfiguration führt. Die Frage steht im zweiten Satz: Wieso passiert das bei freien Kanälen? Wie ich schrieb, das gilt es zu hinterfragen.

Und nein es ist nicht plausibel, dass durch ein Signal welches <30 MHz breit ist in einen Bereich von insgesamt über 200 MHz eingestrahlt wird.

Woher weißt du, dass es exakt dieses Signal ist, was die Probleme auslöst? Woher weißt du, dass es nicht auf der Bandbreite einstrahlt? Hast du entsprechendes Messequipment?

Bezüglich der Randbedingungen: Ich habe doch am gleichen Tag hintereinander beide Versionen getestet und ein unterschiedliches Ergebnis festgestellt. Sollen sich die Randbendingen zufälligerweise genau zum Zeitpunkt des Downgrades verändert habe?

Ich habe nicht geschrieben, dass sich die Randbedingungen geändert haben. Es kann sich durchaus was in der Firmware geändert haben. Aber die Änderungen haben (offensichtlich) nicht bei jedem Auswirkungen, sondern nur bei denjenigen, bei denen diese besonderen Randbedingungen vorliegen. Und wie ich schrieb: Wohnen in der Nähe eines Flughafens kann durchaus eine solche Randbedingung sein, die nicht bei jedem zutrifft
und letztlich in Kombination mit der neuen Firmware eine Verhaltensänderung auslöst. Aber wenn das zutrifft, dann ist es eben wahrscheinlich kein Bug, sondern ein Feature in der neuen Software. Und das heißt dann auch: Es wird sich nicht wieder ändern. Und das bedeutet dann: Kein Update ist keine Lösung, vor allem nicht, wenn es um Security Patches geht!

Bezüglich der Fahrlässigkeit: Welche Wahl hab ich denn?

Du hast keine Wahl. Das Update ist obligatorisch, daran führt kein Weg vorbei. Du kannst jetzt Konfigurationen, Einstellungen oder Positionsänderungen austesten. Aber das ist auch alles. Wenn das nicht hilft, hast du halt einfach Pech.

Im Risikomanagement nennt sich das und es ist manchmal einfach die einzige Option.

Was in diesem Fall unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Auswirkungen absolut keine Option ist.

 

[OldGerald]

Weil eine Radarerkennung zwangsläufig zu einer Veränderung der Kanalkonfiguration führt. Die Frage steht im zweiten Satz: Wieso passiert das bei freien Kanälen? Wie ich schrieb, das gilt es zu hinterfragen.

Also ich denke in dem Punkt reden wir aneinander vorbei.

Meine FritzBox sendet dauerhaft auf dem unteren 160 MHz Kanal, also Kanal 36 bis 64. Egal ob ich den Kanal manuell so einstelle oder Autokanal benutze, sie bleibt immer in dem Bereich.

Dazu wird dauerhaft Radar erkannt. Bei der Version 7.57 auf den Kanälen 100-128, bei 7.56 nur auf Kanal 128. Im Endeffekt macht es keinen Unterschied da der obere 160 MHz Kanal dadurch in beiden Fällen blockiert ist. Vielleicht versucht die neue Version auch genau das darzustellen. Wer weiß?

Bei der Version 7.57 kommt es allerdings jedes Mal wenn diese Radarerkennung protokolliert wird - was in meinem Fall durchgehend alle 15-30 min ist - zu einer kurzzeitigen Verbindungsunterbrechung. Dies ist aus meiner Sicht ein Bug.

Auf die anderen Punkte werde ich nicht weiter eingehen, da es meiner Meinung nach nicht zielführend ist.

 

[riversource]

Dazu wird dauerhaft Radar erkannt. Bei der Version 7.57 auf den Kanälen 100-128, bei 7.56 nur auf Kanal 128. Im Endeffekt macht es keinen Unterschied da der obere 160 MHz Kanal dadurch in beiden Fällen blockiert ist. Vielleicht versucht die neue Version auch genau das darzustellen. Wer weiß?

Ich vermute, die neue Firmware ist da präziser. Nüchtern betrachtet ist es unwahrscheinlich, dass ein Störsignal nur auf einem Kanal erkannt wird. Von daher ist die neue Angabe plausibler.

Bei der Version 7.57 kommt es allerdings jedes Mal wenn diese Radarerkennung protokolliert wird - was in meinem Fall durchgehend alle 15-30 min ist - zu einer kurzzeitigen Verbindungsunterbrechung. Dies ist aus meiner Sicht ein Bug.

Aus meiner Sicht muss das zwangsläufig so sein. Wenn man sich in der regulatorischen Norm ansieht, was ein WLAN Gerät im Falle einer Radarerkennung zu tun hat, dann muss das zwangsläufig zu einer Verbindungsunterbrechung führen.

Die einzige Frage, die es meines Erachtens zu diskutieren gibt: Warum wird bei einer Erkennung auf Kanal 100-128 eine Maßnahme ergriffen, wenn die Box dort gar nicht sendet? Das könnte ein Bug sein. Es könnte aber auch einfach so sein, dass die Box weiß, dass ihre Störsignale noch bis in die betroffenen Kanäle reichen, auch wenn sie dort nicht aktiv sendet: Stichwort Adjacent-channel interference. Dann wäre die Maßnahme ggf. berechtigt.

 

[Engaged]

Somit bleibt für mich aktuell einfach nur das Risiko in Kauf zu nehmen, da für mich mit der neuen Version die FritzBox komplett nutzlos ist. Im Risikomanagement nennt sich das Risk Retention und es ist manchmal einfach die einzige Option.

Die beste Option, und vor allen Dingen wenn der Wohnort diese Gegebenheiten hat, wäre den Repeater als AP zu betreiben.
Beste und stabilste Verbindung, Fritzbox kann auf Kanal 36 und der AP 3000 bietet halt beides (36 &100) an.
Habe hier so ein Setup seit Jahren laufen. 👍

 

[OldGerald]

Klar es könnte wirklich sein, dass ein Repeater das Problem löst, alleine schon weil ein komplett anderer SoC verbaut ist. Ich möchte aber ungern noch ein zweites Gerät kaufen.

Habe bei meinen Eltern übrigens seit Jahren auch die 7950 (ohne AX) und Repeater 3000 in Betrieb und bis auf einen Hardwaredefekt noch nie Probleme gehabt.

 

[meat-ball]

Hallo alle,

ich habe eine Fritz!box 7530 mit OS 7.57.
Wenn ich im 5 Ghz Band auf Autokanal gehe, bekommen ich alle ~30 min folgende Meldungen:

12.10.23 11:07:06 5-GHz-Band für 10 Min. auf dem gewählten Kanal 116-128 (Frequenz 5.580-5.640 GHz) nicht nutzbar wegen Prüfung auf bevorrechtigten Nutzer (z.B. Radar).
12.10.23 11:07:07 Radar wurde auf Kanal 124 (Frequenz 5.625 GHz) oder einem mitbenutzten Kanal erkannt, automatischer Kanalwechsel wegen bevorrechtigten Nutzers ausgeführt.

Der Ereignis log ist dadurch vom 8.09.23 (FRITZ!OS auf 7.57 aktualisiert) bis 13.10.23 57 Seiten lang geworden.

Radar wird immer auf Kanal 120 oder 124 erkannt.

Wenn ich fix auf Kanal 112 einstelle, bekomme ich über Wochen keinen einzigen Ereignis Eintrag bzgl Radarüberprüfung und das 5 Ghz Band wird nicht alle 30 min für 10 min abgeschaltet.

Ich wohne übrigens in Wien, Luftlinie knapp 20km vom Flughafen weg.

Ich kann nicht sagen ob es mit dem Wechsel auf OS 7.57 zusammenhängt, da ich leider keinen Ereignis log aus der Zeit vor 7.57 habe.

AVM Support meint, dass "sich die FRITZ!Box erwartungskonform" verhält.
Mir kommt das Verhalten der FRITZ!Box seltsam vor, aber ich bin definitv kein Profi.

Grüße,
Markus

 

[Wusy]

Ich kann das geänderte Verhalten der Radarerkennung mit FRITZ!OS 7.57 auch bei mir bestätigen. Unmittelbar seit dem Update erkennt meine FRITZ!Box auf allen Kanälen 100-128 kontinuierlich eine Radar-Aktivität. Früher (über mehrere Jahre hinweg) hatte ich ab und an mal eine Aktivität auf Kanal 128.

Ich habe bei AVM jetzt mal meine Support-Daten hinterlegt und ein Ticket erstellt. Haben andere außer mir und @meat-ball das vielleicht auch schon gemacht und was habt Ihr jeweils für Feedback erhalten?

 

[Brezel]

Ich hänge mich hier mit rein, ich habe das gleiche Problem mit der Radarerkennung. Bei mir betrifft es nur einen Repeater und zwar der 3000er die anderen zwei haben das Problem nicht. Echt doof

 

[Engaged]

Ihr müsst alle AVM Nerven damit die unter Druck stehen etwas tun zu müssen, denn die ganzen alten Geräte fallen wohl bald aus dem Support wie es aussieht.
Aktuelle laborrunde (interner name "go fiber") ist zb nur für glasfasergeräte und die AX Geräte. 😅

 

[riversource]

Wollen und können sie denn etwas tun? Die Radarerkennung ist regulatorische Vorschrift, und wer weiß, ob die Geräte nicht irgendwas empfangen, was die Erkennung zurecht triggert?