Fritz!Box-Nutzer können ausgespäht werden

Ein Forscher hat eine Sicherheitslücke im Betriebssystem zahlreicher Fritz!Box-Modelle entdeckt. Angreifer könnten darüber den Gerätenamen sowie MAC- und IP-Adresse auslesen.

von Alexandra Lindner, fby 10.07.2017

Update: AVM reagiert auf Berichterstattung zu Sicherheitslücke

Anders als vielfach beschrieben, ist kein Zugang zu IoT oder sonstigen Heimnetzgeräten möglich. Auch die individuellen Einstellungen und Daten im Interface der Fritz!Box sind nicht sichtbar (Mail-Adressen, Zugangsdaten etc.).

In der Tat ist es bei Geräten mit aktivierter IPv6-Verbindung, beim Besuch einer mit Malware kontaminierten Website, möglich, dass Informationen von Heimnetz-Geräten (Gerätebezeichnung, Mac- und IP-Adresse) sichtbar sind. Ein Zugriff darauf ist jedoch nicht möglich. Das Risiko wird als gering eingestuft (CVSS v3: 3,1, low). Eine Lösung dieser Problematik sei bereits in Arbeit, lässt AVM verlauten.

-------------

Ein Sicherheitsforscher hat bereits im März 2017 ein Leck im Betriebssystem Fritz!OS der Fritz!Box entdeckt und umgehend den Berliner Hersteller AVM davon unterrichtet. Nach Ablauf einer 90-Tage-Frist, ohne Reaktion des Herstellers, veröffentlichte er die Informationen zur Sicherheitslücke nun selbst.

Die Problematik besteht darin, dass Hacker über einen schadhaften JavaScript-Code einer beliebigen Webseite auf verschiedene Nutzerdaten ihres Opfers zugreifen könnten. Dabei handle es sich um den Gerätenamen sowie die MAC- und die IP-Adresse von Geräten mit aktiver IPv6-Verbindung. Sind weitere Geräte ans Netzwerk angeschlossen, könnten die Hacker auch die genannten Informationen dieser Devices abgreifen.

AVM reagiert eher gelassen

AVM reagiert nur sehr verhalten auf die Situation. Man schätze das Risiko als gering ein und wolle in einer der kommenden Versionen eine Lösung bereitstellen. Wer sich trotz allem jetzt schon davor schützen möchte, sollte die IPv6-Unterstützung deaktivieren. Die Einstellungen hierfür befinden sich im Webinterface der Fritz!Box unter dem Menüpfad Internet/Zugangsdaten/IPv6.

Bisher ist kein Fall bekannt, in dem diese Hacking-Methode tatsächlich angewandt wurde. Ein entsprechendes Update sollte trotzdem durchgeführt werden, sobald es zur Verfügung steht.