News AVM weist auf missbräuchliche Nutzung bei FRITZ!Box hin

Kann jemand bitte mal versuchen nach dem Update auf 6.03 über den myfritz-Zugang etwas an den Telefoniegeräten zu ändern oder ein neues hinzu zu fügen? Geht bei mir nämlich nicht und dieser "Apple-Way" regt mich gerade etwas auf insbesondere da ich bei einigen Leuten genau darüber helfe...

Naddel_81 schrieb:
da kann ich ja froh sein, dass das scheinbar nur IP telefonie betrifft und meine fritze keine neuen ISDN-geräte anmelden oder aktivieren kann.

Nein, alle sind betroffen die über die Fritzbox telefonieren und nicht eine Allnet-Flat haben (und mit ALL meine ich ALL ;) )

Denn es wird einfach eine neues Telefoniegerät eingerichtet welches sich dann über das Internet an der Fritzbox anmeldet.
Mit diesem Telefoniegerät wird die vorhandene Infrastruktur genutzt (Also eingerichteten VOIP- bzw. Festnetznummern)


aklaa schrieb:
Die vorherige Firmware wieder drauf, Fernzugriff abgeschaltet und das Wlan hat wieder sehr gute Signalstärke. AVM hat zu schnell das Problem behoben und weitere Probleme sind entstanden. Dann lieber ein gutes Firmwareupdate im Jahr anstatt viele hintereinander.

Habe keine Änderungen in der Signalstärke festgestellt.
Da wo ich früher knapp Empfang hatte, habe ich immer noch knapp Empfang.

Was mir nur aufgefallen ist, dass ich aus meinem Zimmer seit dem Update auf einmal flüssig z.B. Youtube Videos auf meinem Vodafone Smart Tab II 10" gucken kann...
Ergänzung ()

Helmpflicht schrieb:
Und mir ging es um Rachmaninovs Frage, wie denn die Angreifer Passwörter auslesen konnten, NACHDEM sie Zugang zur FritzBox hatten.
WTF? Sind sie doch gar nicht oder wisst ihr mehr als ich?
 
Oh gerade erst gelesen. Gut dass ich nie die Standardports verwende. Geschweige denn den 443 der Fritzbox.
 
derGrimm schrieb:
Nein, alle sind betroffen die über die Fritzbox telefonieren und nicht eine Allnet-Flat haben (und mit ALL meine ich ALL ;) )

habe eine festnetznummer und die ist eingerichtet (kein VoIP). wie will da jemand ein weiteres gerät einrichten? das gibt es nicht und das wird ihm nicht helfen, da er von der box aus keinen anruf anstoßen kann. bei mir muss noch manuell gewählt werden am endgerät. die box leitet die anrufe lediglich ans kabelmodem weiter. mit dem telefon kommunizieren kann die box nicht direkt, da dies kein VoIP-gerät ist. mehr als eine festnetznummer ist bei mir im vertrag nicht drin. und wählregeln geht auch nicht, da sonderrufnummern/auslandsnummern gesperrt sind (vertraglich, nicht in der box).
 
Auf der Box sind deine Nummern eingerichtet, und sie weiß über welchen Weg sie darüber Anrufe absetzen/empfangen kann. Telefoniegeräte kann man auch ohne Kabel am Router einrichten (z.B. Netzwerktelefon über das Handy -> Fritz!App). In dein Netz komm ich per VPN oder sogar schon den Fernzugriff (letzteres weiß ich nicht sicher). Dann sagt man dem Router nur noch welche Nummer dieses "virtuelle" Gerät nutzen soll und fertig. Ob das Festnetz oder IP Telefonie ist, ist der Box schnuppe.

Vertragliche Sperrung der Auslandsnummern hilft natürlich, aber trotzdem hat man einen Gast im System.
 
Zuletzt bearbeitet:
Wilhelm14 schrieb:
Inwiefern schafft der Diebstahl eines SSL-Zertifikates einen erleichterten Zugang?
Der Link zu Spiegel ist allerdings interessant. Es sieht so aus als ob es Häufungen bei bestimmten Providern gibt.
​Ich wäre ja neugierig, ob uns die Lücke noch erklärt wird.

Es ist meiner Ansicht nach auch interessant, dass hier Kabelkunden als Betroffene dargestellt werden und auch mein Kunde war Kabelnutzer. Komischerweise halten sich andere große Provider mit Bekenntnissen zurück. 1&1 verschickt jedoch die gleichen Emails wie Unitymedia, auch an DSL-Altkunden mit einer Fritzbox. Finde ich fair.

Wenn man im Besitz des privaten Schüssels für das von der Fritzbox verwendete SSL Zertifikates ist, ist es möglich die Kommunikation (mit einer Man in the Middle Attacke) abzufischen und zu entschlüsseln. Da Fritzboxen ja anhand des OUI Teils der MAC Adresse eindeutig als AVM Produkt identifizierbar sind, ist ein sniffing nicht sehr aufwändig.
Auf diesem Weg wäre es dann auch möglich die im Remote-Browser gesendeten Benutzereingaben von Benutzername und Kennwort zu entschlüsseln.
Ich kann mir gut vorstellen, dass AVM auf allen Boxen das gleiche Zertifikat nutzt. Zumal es nicht von einer CA signiert ist.

edit: ich hab das übrigens mal mit Wireshark ausprobiert. Wenn ich vom Internet aus auf meine Fritzbox zugreife werden die Anmeldedaten mit TLS 1.0 verschlüsselt in einem Packet an die Fritzbox versendet, auch wenn der Browser bereits neuere Standards wie TLS 1.2 (Firefox 27) benutzen kann.
TLS 1.0 wird seit längerem als unsicher eingestuft. Die o.g. Überlegung wäre als durchaus denkbar.
http://blogs.technet.com/b/nettrace...an-ssl-or-tls-session-by-using-wireshark.aspx

Wenn das Update für mich verfügbar ist, dann werde ich den Vorgang nochmal wiederholen um zu sehen ob AVM hier evtl. die Verschlüsselung auf den Standard TLS 1.1 oder 1.2 angehoben hat.
Ergänzung ()

Atlan3000 schrieb:
DYNDNS wurde vor einiger Zeit kostenpflichtig für Neukunden. Nur Altkunden können den Dienst kostenlos weiterverwenden, müssen sich aber mindestens 1x im Monat auf der Webseite in ihren Account einloggen, sonst verfällt er!

Ganz so ist es nicht. Man bekommt weiterhin 2 Hosts zur Verfügung. Die "Aktivierung" des Accounts funktioniert zum Glück auch ohne Login. Man bekommt bei dyndns.org, wie auch bei no-ip.org eine Email zur Aktivierung. Das geht dann recht schnell und einfach.
 
Zuletzt bearbeitet: (selbsttest.)
ldasta schrieb:


lesen bildet: habe KEINE IP-TELEFONIE.
das will ich sehen wie du meinem ISDN-telefon das wählen beibringst (noch dazu wenn vertraglich alle sonderufnummern und ausland gesperrt sind). es gibt keine anbieterdaten und die box kann ohne endgerät gar nicht absenden. gewählt wird am telefon und nicht virtuell. bei euch mag das anders sein. bei mir geht es nur mit dem angeklemmten telefon. die box selber kann gar nichts, weil sie ja keine daten hat. hier mal die screenshots zur verdeutlichung. der 2. ist wohl der ausschlaggebende. ohne internettelefoniedaten KEINE telefonie. so einfach ist das.





ich belass es bei KEINEM update. werde berichten, wenn ich ne höhere rechnung als sonst habe. aber darauf solltet ihr besser nicht wetten.
 
Zuletzt bearbeitet:
Naddel_81 schrieb:
lesen bildet: habe KEINE IP-TELEFONIE.
das will ich sehen wie du meinem ISDN-telefon das wählen beibringst.

Du hast deine Telefonnummern unter "Eigenen Rufnummern".
Du gehst unter "Telefoniegeräte", "Neues Geräte einrichten", Telefon (mit oder ohne...), IP-Telefon, ...., du weist dem IP-Telefon eine deiner Rufnummern zu. Dieses "Telefon" kannst du nun mit dem Benutzer 620 und dem vergebenen Passwort als VoIP-Telefon (SIP) benutzen. Als SIP-Server fungiert fritz.box im LAN und im WAN deine WAN-IP oder die DDNS-Adresse.

Edit: Hast du ein Smartphone? Welches? Das kannst du damit nachstellen und ausprobieren.
 
Zuletzt bearbeitet:
Es geht nicht darum, dass du keine Internettelefonie hast, sondern darum, dass ein neues Telefoniegerät hinzugefügt wird, welches über deine Leitung, egal ob analog, ISDN oder VoIP telefoniert. Es muss nicht dem ISDN-Telefon das wählen beigebracht werden, stattdessen wird ein neues virtuelles Telefon hinzugefügt.
 
Wilhelm14 schrieb:
Du hast deine Telefonnummern unter "Eigenen Rufnummern".
Du gehst unter "Telefoniegeräte", "Neues Geräte einrichten", Telefon (mit oder ohne...), IP-Telefon, ...., du weist dem IP-Telefon eine deiner Rufnummern zu. Dieses "Telefon" kannst du nun mit dem Benutzer 620 und dem vergebenen Passwort als VoIP-Telefon (SIP) benutzen. Als SIP-Server fungiert fritz.box im LAN und im WAN deine WAN-IP oder die DDNS-Adresse.

Edit: Hast du ein Smartphone? Welches? Das kannst du damit nachstellen und ausprobieren.

getestet. klappt nicht. neue geräte können zwar eingerichtet werden, aber nur die am modem registrierten telefone können raus. sonst niemand. nicht mal die smartphones. von daher also halb so wild.

was mich aber interessieren würde: es muss doch dann jahrelang einen exploit gegeben haben, den niemand von AVM entdeckt haben soll?
Ergänzung ()

SB94 schrieb:
Es geht nicht darum, dass du keine Internettelefonie hast, sondern darum, dass ein neues Telefoniegerät hinzugefügt wird, welches über deine Leitung, egal ob analog, ISDN oder VoIP telefoniert. Es muss nicht dem ISDN-Telefon das wählen beigebracht werden, stattdessen wird ein neues virtuelles Telefon hinzugefügt.

mit dem auch nur virtuelle gespräche möglich sind. wie gesagt: habs getestet und hier geht kein anruf raus, der nicht über die angeschlossenen telefone geführt wird. was machen eigentlich die leute, die eine box haben, die KEIN update bekommen hat? zahlen? sicher nicht.
 
...nur die am modem registrierten telefone können raus. sonst niemand. nicht mal die smartphones. von daher also halb so wild.
Was sind "am Modem registrierte Telefone"?

habs getestet und hier geht kein anruf raus, der nicht über die angeschlossenen telefone geführt wird
Was sollen "angeschlossene Telefone" sein? Wie stellst du ein, dass nur die telefonieren können? Das ist ja gerade der Clou, dass man IP-Telefone einrichtet und mit denen "virtuell" aus der Ferne telefnonieren kann ohne deine Apparate anfassen zu müssen.

Wie hast du eingerichtet? Womit hast du versucht zu telefonieren, Smartphone?
 
Können die Telefonate nur übers Internet nicht raus, oder gar nicht. Wenn nur übers Interner gibt es folgende Möglichkeit.
„Telefonie“ --> „Telefoniegeräte“ --> Bei dem IP-Telefon auf den „Bearbeiten“-Button drücken --> „Anmeldedaten“ --> „Anmeldung aus dem Internet erlauben“

Und bei mir funktioniert es.
 
ich kann nur mit den telefonen raus, die am modem registriert sind. sprich: die mit ihrer rufnummer, die vertraglich vorgegeben ist, am modem initialisiert wurden (vor x Jahren). der rest kann sich quer stellen. sogar mit dem smartphone und der fritz-app geht nix raus. ich finds prima.

wir kommen aber vom eigentlichen thema ab: war es jetzt eine sicherheitslücke oder hat jemand die zugangsdaten sonstwo besorgt?
wenn das wirklich ein exploit war, dann wären von den 10 millionen fritzboxen in deutschland sicher schon mehr als nur 100 missbraucht worden.
 
Es müssen gar keine Telefonnummern eingerixhtet sein in der Fritz!Box. Telefonieren mit der Anschlussnummer funktioniert bereits ohne jegliche Einrichtung, sobalr irgendein Telefon angemeldet/angeschlossen ist.
 
SB94 schrieb:
Können die Telefonate nur übers Internet nicht raus, oder gar nicht. Wenn nur übers Interner gibt es folgende Möglichkeit.
„Telefonie“ --> „Telefoniegeräte“ --> Bei dem IP-Telefon auf den „Bearbeiten“-Button drücken --> „Anmeldedaten“ --> „Anmeldung aus dem Internet erlauben“

Und bei mir funktioniert es.

Also hier bei der 7170 meiner Eltern gibt es den Haken zumindest nicht.
Trotzdem konnte ich ein VoIP-"Server" anlegen, der eine MSN des ISDN-Anschlusses nutzt.
 
1. wie sind die in die boxen reingekommen? haben die "täter" die anmeldung wirklich mit einem exploit umgangen?

2. wieso sind von den 10 millionen (im einsatz befindlichen) fritzboxen nur wenige missbraucht worden? ist es doch nicht so einfach wie in der presse behauptet? (denn ein update eingespielt haben vielleicht wenige zehntausend bis maximal hunderttausend. hans-otto von nebenan wird seine 1&1 gebrandete fritze weiterhin so laufen lassen wie die letzten 4 jahre).
 
1und1-Branding ist übrigens in der original Firmware enthalten, heißt also nichts. ;)
 
Zurück
Oben