Das BSI empfiehlt allen(!) Nutzern einer AVM - Fritzbox ein Update durchzuführen.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Fritz-Box-Update_11022014.html
Ich habe gestern, im Chat, mit den O2 - Spezialisten, erfahren, dass bei O2 nichts diesbezüglich bekannt ist und für die zur Verfügung gestellte gebrandete Fritzbox 7570 VDSL keine Updatemöglichkeit besteht.
Da O2 keinen Handlungsbedarf sieht, gehe ich davon aus, dass O2 im vollen Umfang haftet, falls meine Fritzbox gehackt wird.
Seite 1 / 3
Es ist ja bekannt, wie man selbst die Lücke vorerst schließen kann.
Wenn du das absichtlich nicht machst, wirst du kaum o2 zur Verantwortung ziehen können.
Wenn du das absichtlich nicht machst, wirst du kaum o2 zur Verantwortung ziehen können.
Redsocks schrieb:Was soll an der 7570 gehackt werden`? Zum einen ist die Software auf der 7570 die eigentlich 7570 H heißt nicht von AVM sondern von Alice/Hansenet und zum zweiten hat die 7570 H von Hansent nichts mit der AVM Lücke zu tun. Die Hardware ist zwar von AVM gestellt aber die Software auf dieser Box ist speziell für Hansenet entwickelt worden. Die Firmware auf diesem Gerät unterstützt eigentlich nix von dem was die Box eigentlich könnte.
Das BSI empfiehlt allen(!) Nutzern einer AVM - Fritzbox ein Update durchzuführen.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Fritz-Box-Update_11022014.html
Ich habe gestern, im Chat, mit den O2 - Spezialisten, erfahren, dass bei O2 nichts diesbezüglich bekannt ist und für die zur Verfügung gestellte gebrandete Fritzbox 7570 VDSL keine Updatemöglichkeit besteht.
Da O2 keinen Handlungsbedarf sieht, gehe ich davon aus, dass O2 im vollen Umfang haftet, falls meine Fritzbox gehackt wird.
Für die 7570 von AVM selbst gibt es doch ein Update wenn ich es gerade richtig im Kopf habe.
Die Frage wäre eigentlich was O2 gedenkt mit den Usern zu tun die eine 7270 von O2 besitzten oder eine 7390?
Hierzu gibt es von O2 bis jetzt keine Informationen.
stefanniehaus schrieb:Die Lücke kann mit der 7570 H von Alice auf diese Art und weise nicht geschlossen werden. Warum? Die Box unterstützt diese Funktionen nicht da Alice diese Funktionen und viele andere in seine Firmware nicht mit aufgenommen hat.
Es ist ja bekannt, wie man selbst die Lücke vorerst schließen kann.
Wenn du das absichtlich nicht machst, wirst du kaum o2 zur Verantwortung ziehen können.
Dann wären ja auch einige Speedports (Hardware von AVM, Firmware von der Telekom) betroffen. Sind die ja auch nicht.
Edit
In meinen Augen besitzt der Kunde keine Fritzbox. Eine Fritzbox ist nicht nur Hardware, sie ist ein Zusammenspiel der Hardware und der Firmware und genau das ist der Punkt, die Hardware ist zwar AVM aber die Firmware ist Alice. Selbst der Name Firtzbox ist eigentlich auf diesem Gerät nicht angebracht und vermittelt dem Kunden etwas falsches. In Meinen Augen durch Alice seiner Zeit eine Täuschung an den Kunden, der Kunde erwartet unter dem Namen Fritzbox etwas anderes als er eigentlich bekommt bzw bekommen hat.
Wusste nicht, dass es die Funktion dort gar nicht gibt.
Dann ist dieser Thread ja auch vollkommen überflüssig.
Und auch wenn die Box von dem Problem betroffen wäre, würde obiges gelten; also nichts wo o2 bei dieser Box in irgendeiner Verantwortung steht.
Dann ist dieser Thread ja auch vollkommen überflüssig.
Und auch wenn die Box von dem Problem betroffen wäre, würde obiges gelten; also nichts wo o2 bei dieser Box in irgendeiner Verantwortung steht.
Redsocks schrieb:Bei FritzBoxen versteht man unter "Branding" die Herstellerkennung, z.B. "avm", "avme", "otwo" oder "1und1". Die 7570 gibt es auschließlich mit dem Branding "avme" = internationales AVM.
gebrandete Fritzbox 7570 VDSL keine Updatemöglichkeit besteht.
Das IAD 7570 ist, wie bereits geschieben wurde, ein völlig anderes Gerät!
Gruß
akapuma
Mister79 schrieb:Da wäre ich mir nicht so sicher. Sicherlich wurde die Firmware von AVM kastriert (8 vs. 16MB) _aber_ es ist eine normale Fritzbox-Firmware drauf (das sieht man an u.a. an der Exportdatei - diese ist identisch zu anderen Fritzboxen). Und die Fernwartung ist vorhanden!
Was soll an der 7570 gehackt werden`? Zum einen ist die Software auf der 7570 die eigentlich 7570 H heißt nicht von AVM sondern von Alice/Hansenet und zum zweiten hat die 7570 H von Hansent nichts mit der AVM Lücke zu tun. Die Hardware ist zwar von AVM gestellt aber die Software auf dieser Box ist speziell für Hansenet entwickelt worden. Die Firmware auf diesem Gerät unterstützt eigentlich nix von dem was die Box eigentlich könnte.
Ob das Einrichten von VOIP-Telefonen nur über die Benutzeroberfläche oder auch direkt in der Firmware kastriert wurde, kann ich nicht sagen, aber sicher wäre ich mir nicht...
Es sind ausschließlich Kunden betroffen, "welche den Fernzugriff aus dem Internet auf ihre FRITZ!Box freigeschaltet haben, beispielsweise über den MyFRITZ!-Dienst". Ich denke nicht, daß ein IAD diese Funktion bereitstellt.
Das Einrichten der VoIP-telefonie erfolgt über TR-069 und hat damit nichts zu tun.
Eine Firmware zeichnet sich durch die Funktionen aus. Hier unterscheiden sich FritzBox und IAD grundsätzlich. Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.
Gruß
akapuma
Das Einrichten der VoIP-telefonie erfolgt über TR-069 und hat damit nichts zu tun.
Eine Firmware zeichnet sich durch die Funktionen aus. Hier unterscheiden sich FritzBox und IAD grundsätzlich. Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.
Gruß
akapuma
Können diese nicht die von AVM bereitgestellten Updates nutzen?
Die Frage wäre eigentlich was O2 gedenkt mit den Usern zu tun die eine 7270 von O2 besitzten oder eine 7390?
Hierzu gibt es von O2 bis jetzt keine Informationen.
Frank_B1 schrieb:Ja kann man. Habe ich auch gemacht. Allerdings bereits vorher schon. Ich habe die FRITZ!Box Fon WLAN 7270 v3 (O2) und Firmware 74.05.5. Ist alles kein Problem, wenn man noch Altkunde ist.
Können diese nicht die von AVM bereitgestellten Updates nutzen?
Die Frage wäre eigentlich was O2 gedenkt mit den Usern zu tun die eine 7270 von O2 besitzten oder eine 7390?
Hierzu gibt es von O2 bis jetzt keine Informationen.
Ist alles kein Problem, wenn man noch Altkunde ist.Sorry der Nachfrage. Bin kein o2 DSL-ler. Was heißt das? Kann nicht jeder, der diese FB von o2 hat, die Firmware von AVM laden?
Doch, das kann man, mit 2 kleinen Haken:
Man verwendet dann nicht die offiziell freigegebene Firmware, und muß damit rechnen, daß der Kundenservice einem im Störungsfall vorwirft, die Störung käme allein daher, weil man die falsche Firmware verwenden würde. Weil man dann aber eine Störung hat, kann man sich dann auch nicht die "richtige" alte Firmware downloaden. Bei 1&1 habe ich das schon erlebt.
Nicht-o2-User können die neue Firmware per Autoupdate laden. Kunden mit o2-gebrandeter Box müssen das Update manuell per Datei einspielen, und dafür die Expertenansicht aktivieren. Das macht es nicht einfacher.
Gruß
akapuma
Man verwendet dann nicht die offiziell freigegebene Firmware, und muß damit rechnen, daß der Kundenservice einem im Störungsfall vorwirft, die Störung käme allein daher, weil man die falsche Firmware verwenden würde. Weil man dann aber eine Störung hat, kann man sich dann auch nicht die "richtige" alte Firmware downloaden. Bei 1&1 habe ich das schon erlebt.
Nicht-o2-User können die neue Firmware per Autoupdate laden. Kunden mit o2-gebrandeter Box müssen das Update manuell per Datei einspielen, und dafür die Expertenansicht aktivieren. Das macht es nicht einfacher.
Gruß
akapuma
Danke dir.
Vor dem Hintergrund der Sicherheitslücke sollte dann aber o2 eine bereitstellen. Ich habe aber auch auf FB gelesen, dass o2 selbst auf AVM verweist.
https://www.facebook.com/o2de?sk=wall&filter=2#!/o2de/posts/10152271901658729?stream_ref=10
Vor dem Hintergrund der Sicherheitslücke sollte dann aber o2 eine bereitstellen. Ich habe aber auch auf FB gelesen, dass o2 selbst auf AVM verweist.
https://www.facebook.com/o2de?sk=wall&filter=2#!/o2de/posts/10152271901658729?stream_ref=10
Doch, die Funktion "Fernwartung" ist vorhanden. Siehe Handbuch S. 39.
akapuma schrieb:
Es sind ausschließlich Kunden betroffen, "welche den Fernzugriff aus dem Internet auf ihre FRITZ!Box freigeschaltet haben, beispielsweise über den MyFRITZ!-Dienst". Ich denke nicht, daß ein IAD diese Funktion bereitstellt.
akapuma schrieb:Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat? Das ist die normale Firmware der 7570, nur dass ein "paar" Funktionen nicht mit einkompiliert wurden und es wurde eine andere Weboberfläche aufgesetzt.
Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.
binauchhier schrieb:Ich habe auch gerade noch mal meine 7570 angeschlossen um zu gucken, ob es die Funktion gibt und bin zum gleichen Ergebnis gekommen.
Doch, die Funktion "Fernzugriff" ist vorhanden. Siehe Handbuch S. 39.
akapuma schrieb:Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat? Das ist die normale Firmware der 7570, nur dass ein "paar" Funktionen nicht mit einkompiliert wurden und es wurde eine andere Weboberfläche aufgesetzt.
Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.
Die Firmware wurde glaube ich von o2 entwickelt, ist ja aber letztendlich eine (stark) veränderte AVM-Firmware. Ich kann mir auch gut vorstellen, dass o2 bei der Fernwartung auf den Code von AVM zurückgegriffen hat und die Sicherheitslücke somit auch in der 7570 besteht.
Laut Heise soll die 7570 ein Update bekommen haben.
http://www.heise.de/newsticker/meldung/Router-Hack-Was-Fritzbox-Besitzer-jetzt-machen-muessen-2110186.html
http://www.heise.de/newsticker/meldung/Router-Hack-Was-Fritzbox-Besitzer-jetzt-machen-muessen-2110186.html
Ja, die Fritzbox 7570 schon. Aber nicht die Fritzbox 7570 Edition HN. Die Firmware wurde so stark verändert, dass man leider nicht einfach das Update von AVM einspielen kann.
Frank_B1 schrieb:
Laut Heise soll die 7570 ein Update bekommen haben.
binauchhier schrieb:Doch, das glaube ich.
Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat?
Ich hatte mal eine W920V (gleiche Hardware wie 7570 und IAD7570) und kann sagen, daß diese Firmware von der Funktionalität her überhaupt nichts mit einer FritzBox zu tun hat. Eine W920V ist gegenüber einer FritzBox nur ein kümmerliches Häufchen Elend. Die kann quasi nix.
Bekannterweise ist die W920V aber noch Gold gegenüber einem IAD7570, bei dem man sogar das DECT-Teil deaktiviert hat - eine Grundfunktion von FritzBoxen.
Bezüglich der Fernwartung gebe ich Dir recht. Das Problem ist trotzdem nicht vergleichbar.
Bei der 7570 handelt es sich eine Fernwartung, die nur kurzzeitig eingeschaltet wird, um Alice auf besonderen Wunsch den Zugang zu ermöglichen. Im Handbuch steht ausdrücklich "Bitte deaktivieren Sie diese Funktion wieder, wenn Sie nicht benötigt wird.". Es ist also nicht vorgesehen, daß dieser Zugang dauerhaft aktiv ist. Es gibt keinen Grund, diesen Zugang aktiviert zu lassen.
Bei FritzBoxen handelt es sich jedoch um einen Fernzugriff (MyFritz). Das ist eine Funktion, die jeder User dauerhaft einschalten kann, um so beispielsweise Freunden und Bekannten den Zugriff auf Urlaubsbilder an eine angeschlossene Festplatte zu ermöglichen. Hier ist vorgesehen, daß dieser Zugriff dauerhaft aktiv ist. Und das ist Voraussetzung für die Angreifbarkeit.
Gruß
akapuma
Die Sicherheitslücke betrifft ausschließlich die Funktion My Fritz.
Ich bitte alle die mit dieser Funktion nichts anfangen können bei AVM auf der Internetseite sich zu belesen.
Die Fernwartung auf die hier die ganze Zeit geritten wird hat nichts aber auch gar nichts mit dieser Funktion zu tun. My Fritz und die Fernwartung die im Handbuch steht sind so unterschiedlich wie Tag und Nacht.
Bitte, lest euch die Funktion auf der Seite von AVM durch und was man damit so anstellen kann und wir werden feststellen das dies mit der Fernwartung aus dem Benutzerhandbuch nichts zu tun hat.
Ich bitte alle die mit dieser Funktion nichts anfangen können bei AVM auf der Internetseite sich zu belesen.
Die Fernwartung auf die hier die ganze Zeit geritten wird hat nichts aber auch gar nichts mit dieser Funktion zu tun. My Fritz und die Fernwartung die im Handbuch steht sind so unterschiedlich wie Tag und Nacht.
Bitte, lest euch die Funktion auf der Seite von AVM durch und was man damit so anstellen kann und wir werden feststellen das dies mit der Fernwartung aus dem Benutzerhandbuch nichts zu tun hat.
Ich glaube, wir reden aneinander vorbei: Die Firmware bei den Fritzboxen besteht aus zwei aufeinander aufbauenden Schichten.
akapuma schrieb:
binauchhier schrieb:Doch, das glaube ich.
Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat?
Die zugrunde liegende Funktionsschicht steuert die Box. Darauf aufbauend gibt es die Weboberfläche, mit der man auf die Funktionen zugreifen kann.
Die Funktionsschicht scheint modular aufgebaut zu sein, so dass man auch einzelne Funktionen (Module) komplett weglassen kann.
Was du als Benutzer zu sehen bekommst, ist aber die Weboberfläche. Und diese ist hier speziell auf die Bedürfnisse von Alice zugeschnitten.
Das bedeutet, dass es durchaus sein kann, dass man als Benutzer (der nur die Weboberfläche sieht) einige Funktionen nicht einstellen kann. Der Schluss, dass diese nicht in der Funktionsschicht da sind, ist aber nicht zwangsweise richtig.
Wie komme ich darauf? Zum einen, da die Exportdatei vom Aufbau her dem Fritzbox-Standard entspricht. Und diese wird von der Funktionsschicht erzeugt.
Zum Anderen, da ich immer wieder Fehlermeldungen der Art "firmwarecfg: Internal communication error. Exiting. Error: opening page ../html/tools/import_result.html" bekomme. Das bedeutet, ich spreche hier eine Funktion an, die in der Funktionsschicht eingebaut ist. Allerdings habe ich dabei falsche Parameter genutzt r1] und die Funktionsschicht verweist mich auf eine Fehlerseite in der Weboberfläche, die nicht existiert.
akapuma schrieb: Bei FritzBoxen handelt es sich jedoch um einen Fernzugriff (MyFritz). Das ist eine Funktion, die jeder User dauerhaft einschalten kann, um so beispielsweise Freunden und Bekannten den Zugriff auf Urlaubsbilder an eine angeschlossene Festplatte zu ermöglichen. Hier ist vorgesehen, daß dieser Zugriff dauerhaft aktiv ist. Und das ist Voraussetzung für die Angreifbarkeit.Und was hindert einen Benutzer daran, die Funktion beim IAD 7570 einzuschalten? Ich kann mir gut vorstellen, dass es Leute gibt, die sie trotzdem eingeschaltet lassen. Z.B. kann man so von unterwegs die verpassten Anrufe einsehen.
1] In diesem Fall habe ich eine passwortgeschüzte Export-Datei einer anderen Fritzbox importieren wollen. Eigentlich müsste hier die Fehlermeldung "Falsches Kennwort" kommen.
Das ist falsch. Bitte lies dir die Pressemeldung von AVM oder die entsprechenden Fachforen noch einmal durch.
Mister79 schrieb:
Die Sicherheitslücke betrifft ausschließlich die Funktion My Fritz.
Alle Fritzbox-Nutzer, welche den Fernzugriff über HTTPS eingeschaltet haben, sind von der Sicherheitslücke betroffen.
MyFritz ist nur eine von vielen Möglichkeiten, den Fernzugriff zu aktivieren.
In Fritz OS6 heißt die Funktion Internetzugriff über HTTPS, in der Presse wird sie oft als Fernzugriff bezeichnet und im IAD 7570 heißt diese Funktion halt Fernwartung über HTTPS.
All diese Funktionen haben nichts mit der Fernkonfiguration über TR069 zu tun. Das ist etwas komplett anderes - hierüber kann der Provider die Einstellungen der Box ändern. Diese Funktion ist nicht betroffen.
binauchhier schrieb:Ich glaube, wir reden aneinander vorbei: Die Firmware bei den Fritzboxen besteht aus zwei aufeinander aufbauenden Schichten.Das Modell mit den 2 Schichten ist gut.
Die zugrunde liegende Funktionsschicht steuert die Box. Darauf aufbauend gibt es die Weboberfläche, mit der man auf die Funktionen zugreifen kann.
Beide Modelle haben eine Funktionsschicht. Beide erlauben den Fernzugriff.
Bei der 7570 sind in der Weboberfläche verschiedene Möglichkeiten vorgesehen, den Fernzugriff dauerhaft freizuschalten. Bei der Weboberfläche des IAD7570 ist es nicht vorgesehen, diese Schwachstelle zu öffnen.
binauchhier schrieb:Und was hindert einen Benutzer daran, die Funktion beim IAD 7570 einzuschalten?Niemand. Man kann natürlich Sicherheitsfunktionen abschalten, z.B. die WLAN-Verschlüsselung, oder Virenscanner und Firewall am PC. Wenn man sich dann aber etwas einfängt, ist man selber schuld.
o2 hat das Ganze ja berbockt. Es wäre mit Sicherheit billiger gewesen, eine Standardbox zu verkaufen, als sich für teuer Geld eine neue Firmware zurechtbasteln zu lassen. Eine 7570 mit vielen Softwarefunktionen und DECT hat bestimmt mehr Verkaufsargumente als ein IAD7570 ohne DECT.
Gruß
akapuma
binauchhier schrieb:Wir reden hier ja über den Router 7570 Hansenet ja?
Das ist falsch. Bitte lies dir die Pressemeldung von AVM oder die entsprechenden Fachforen noch einmal durch.
Mister79 schrieb:
Die Sicherheitslücke betrifft ausschließlich die Funktion My Fritz.
Alle Fritzbox-Nutzer, welche den Fernzugriff über HTTPS eingeschaltet haben, sind von der Sicherheitslücke betroffen.
MyFritz ist nur eine von vielen Möglichkeiten, den Fernzugriff zu aktivieren.
In Fritz OS6 heißt die Funktion Internetzugriff über HTTPS, in der Presse wird sie oft als Fernzugriff bezeichnet und im IAD 7570 heißt diese Funktion halt Fernwartung über HTTPS.
All diese Funktionen haben nichts mit der Fernkonfiguration über TR069 zu tun. Das ist etwas komplett anderes - hierüber kann der Provider die Einstellungen der Box ändern. Diese Funktion ist nicht betroffen.
Somit ändert es nichts an der Sache das diese Funktion die bei AVM geschlossen wurde diesen IAD nicht interessiert. Bei der AVM Version konnte so ein DECT Telefon oder ein IP Gerät angemeldet werden mit welchem man aus der Ferne telefonieren kann und somit hohe Kosten erzeugen kann/könnte.
Was nützt mir das beim IAD? Aus meiner Sicht gar nichts, diese Funktion ist nicht vorhanden, DECT gibt es nicht und IP Telefonie Geräte anmelden auch nicht. Was soll hier passieren? Jemand schaltet das Wlan aus? Die Verschlüsselung vom Wlan? Wem bringt das was? In meinen Augen ist die Sicherheitslücke auf dem IAD uninteressant, der Schaden welcher verursacht werden könnte liegt in meinen Augen bei nahe zu Null.
Anders bei der AVM Version mit DECT und allen anderen Funktionen welche es bei dem IAD nicht gibt. Hier hat AVM ja nachgebessert und ein Update auch für die AVM Version gebracht.
Der Punkt wäre wenn überhaupt die O2 7270 oder 7390 welche O2 nun offiziell freigen müsste um das der Kunde diese Firmware über das Autoupdate auch finden kann. Zusätzlich müsste O2 dann auch aufhören den Support zu verweigern und ständig die gleichen Lieder bezüglich Firmware und O2 Freigabe zu singen.
Wenn O2 (ich habe mich damit noch nicht beschäftigt) auf die AVM Version und ein manuelles Update verweist, dann sollte O2 auch eine Anleitung dazu im Hilfe Bereich online stellen und dann auf jeden Fall aufhören das Lied der Firmware und Support zu singen.
Wie gesagt, was die 7570 Hansenet Box betrifft bleibe ich dabei, die Lücke hat hier keine großen Auswirkungen. Eine Lücke wie bei Netgear gerade aufgetaucht ist, ist da viel interessanter als der IAD.
Edit
Glaub mir, O2 ist nicht doof und schon gar nicht dämlich. Auch wenn dies mit den IADs manchmal so aussehen mag. Wenn o2 auch nur den Hauch einer Chance sehen würde das durch die Firmware O2 ein Schaden entstehen könnte, dann wäre das schon gefixt. Auch wenn das Update für ein 6431 knapp 1 Jahr gedauert hat aber wenn es um O2 sein Geld geht, geht das auch bei O2 verdammt schnell. Beispiele kann ich dir hier auch nennen, Classic und Comfort Router. Da gab es mal eine Telefonielücke und O2 hat ganze 7 Tage gebraucht um das Problem zu fixen. Die anderen Bugs blieben aber erhalten. Hier zeigt sich ganz genau wann O2 schnell fixen kann und wann O2 gar nicht fixt.
Nein, diese Funktion ist beim IAD 7570 vorhanden. Du kannst über das Internet via HTTPS auf deine Box zugreifen. Hattest du diese Box jemals in der Hand?
Mister79 schrieb:Wir reden hier ja über den Router 7570 Hansenet ja?
Somit ändert es nichts an der Sache das diese Funktion die bei AVM geschlossen wurde diesen IAD interessiert. Bei der AVM Version konnte so ein DECT Telefon als IP Gerät angemeldet werden und somit aus der Ferne telefonieren und hohe Summen erzeugen.
Du kannst über die Weboberfläche kein VOIP-Telefon einrichten, ja. Ob diese Funktion aus der Firmware wirklich entfernt wurde oder nur über die Weboberfläche nicht zugänglich ist, würde ich nicht beschwören (siehe mein Beitrag weiter oben).
Und selbst wenn - die Lücke ist vermutlich vorhanden. d.h, prinzipiell kann der Router von außerhalb gekapert werden. Auch wenn dein Telefon nicht verändert werden kann, ist über diese Lücke ein Vollzugriff auf das IAD möglich. Und dieser beschränkt sich nicht darauf, dass jemand Telefonkosten verursacht. Die Angreifer könnten die komplette Konfiguration auslesen und könnten sie auch verändern. Ich habe es nicht ausprobiert, aber in der Exportdatei sind sowohl die DNS-Daten als auch die VOIP-Daten hinterlegt. Wenn man jetzt hier die Server ändert, kann fortan jeglicher Datenverkehr und die Telefongespräche mitgeschnitten werden. Wenn dich das nicht stört, bitte.
Und kommt mir bitte nicht mit "im Handbuch steht aber, dass man die Funktion nach benutzen abschalten soll". 99% der Benutzer lesen das Handbuch nicht. Und wie ich schon schrieb - über die Fernwartung kann man sich über verpasste Anrufe informieren. Und das wird sicher der ein oder andere nutzen.
Edit: zu deinem Edit: Da stimme ich dir vollkommen zu. O2 kann hierdurch wahrscheinlich kein Schaden entstehen. Daher wird vermutlich auch kein Fix kommen.
Trotzdem sollte davor gewarnt werden, diese Funktion im IAD 7570 zu nutzen. Denn die Lücke ist mit hoher Wahrscheinlichkeit auch hier vorhanden kann genutzt werden - auch wenn es "nur" zum Schaden des Benutzers ist. Deswegen finde ich es falsch, so zu tun, als ob gar keine Gefahr besteht. Diese ist vorhanden, auch wenn das Schadenspotential ein anderes als bei den original Fritzboxen ist.
Daher sollte man vorsichtshalber darauf hinweisen, auch beim IAD 7570 diese Funktion nicht mehr zu nutzen.
Nein ich habe die Box nicht und ich werde auch NIEMALS einen IAD von O2 mein eigen nennen. Glaub mir, vorher hack ich mir beide Hände ab.
Hier möchte ich an der Stelle nur eins mal sagen, vom Prinzip her bin ich auf deiner Seite und wenn du meine Beiträge kennst oder nur einen Teil meiner Beiträge zum Thema IAD dann würde unsere Unterhaltung auch vielleicht etwas anders verlaufen.
Du sagst es ja selbst, vermutlich vorhanden. Wissen wir das? Im Moment müssen wir davon ausgehen das es wohl nicht so ist. Warum? Hatte ich schon angeschnitten, was man O2 vorwerfen kann ist eine Geschäftspolitische Dämlichkeit was die IADs betrifft aber sicher nicht Risikofixes. Wenn O2 in seinen Routern eine Sicherheitslücke entdeckt und diese auf irgendeinen Weg O2 schaden kann und dein Beispiel würde O2 und seinem Lied was die IADs betrifft enorm schaden, umgehend fixen. Dies hat O2 am Classic und Comfort (die beiden Geräte kenne ich recht gut) auch schon bewiesen. Was O2 gar nicht interessiert sind Funktionen die den Kunden betreffen. Ob diese Funktionieren oder nicht juckt O2 nicht die Bohne. Dies gibt das Forum genau so wieder bzw man kann es so aus den Beiträgen raus lesen.
Gespräche belauschen? Ich denke das wir seit kurzem erfahren haben das wir dazu keinen Router IAD benötigen und ob dies wirklich möglich ist über DIESE Lücke kann ich nicht sagen. Wenn ja, hätte sich wohl eine Zeitung wie Ct schon längst drauf gestürzt oder diverse andere Seiten.
Wie gesagt, viel tragischer als den IAD finde ich die Original 7270 oder 7390 und die Politik von O2 zu diesen Geräten (Support bei nicht von O2 freigegebener Firmware aber trotzdem keine andere Firmware freigen) Die Frage ist auch in welchen Mengen Alice diese Geräte vertrieben hat und wie groß das Risiko bei einer Stückzahl von X Geräten ist.
Nemesis03 könnte es mal ausprobieren, er hat doch diesen Router zuhause oder mach es doch selbst und poste uns dein Ergebnis. Bis jetzt sind die Hinweise auf diesen IAD nur Vermutung was die Firmware betrifft.
Hier möchte ich an der Stelle nur eins mal sagen, vom Prinzip her bin ich auf deiner Seite und wenn du meine Beiträge kennst oder nur einen Teil meiner Beiträge zum Thema IAD dann würde unsere Unterhaltung auch vielleicht etwas anders verlaufen.
Du sagst es ja selbst, vermutlich vorhanden. Wissen wir das? Im Moment müssen wir davon ausgehen das es wohl nicht so ist. Warum? Hatte ich schon angeschnitten, was man O2 vorwerfen kann ist eine Geschäftspolitische Dämlichkeit was die IADs betrifft aber sicher nicht Risikofixes. Wenn O2 in seinen Routern eine Sicherheitslücke entdeckt und diese auf irgendeinen Weg O2 schaden kann und dein Beispiel würde O2 und seinem Lied was die IADs betrifft enorm schaden, umgehend fixen. Dies hat O2 am Classic und Comfort (die beiden Geräte kenne ich recht gut) auch schon bewiesen. Was O2 gar nicht interessiert sind Funktionen die den Kunden betreffen. Ob diese Funktionieren oder nicht juckt O2 nicht die Bohne. Dies gibt das Forum genau so wieder bzw man kann es so aus den Beiträgen raus lesen.
Gespräche belauschen? Ich denke das wir seit kurzem erfahren haben das wir dazu keinen Router IAD benötigen und ob dies wirklich möglich ist über DIESE Lücke kann ich nicht sagen. Wenn ja, hätte sich wohl eine Zeitung wie Ct schon längst drauf gestürzt oder diverse andere Seiten.
Wie gesagt, viel tragischer als den IAD finde ich die Original 7270 oder 7390 und die Politik von O2 zu diesen Geräten (Support bei nicht von O2 freigegebener Firmware aber trotzdem keine andere Firmware freigen) Die Frage ist auch in welchen Mengen Alice diese Geräte vertrieben hat und wie groß das Risiko bei einer Stückzahl von X Geräten ist.
Nemesis03 könnte es mal ausprobieren, er hat doch diesen Router zuhause oder mach es doch selbst und poste uns dein Ergebnis. Bis jetzt sind die Hinweise auf diesen IAD nur Vermutung was die Firmware betrifft.
Mister79 schrieb:Gerade weil ich deine Beiträge kenne, wundere ich mich, dass du das IAD 7570 so sehr verteidigst.
Hier möchte ich an der Stelle nur eins mal sagen, vom Prinzip her bin ich auf deiner Seite und wenn du meine Beiträge kennst oder nur einen Teil meiner Beiträge zum Thema IAD dann würde unsere Unterhaltung auch vielleicht etwas anders verlaufen.
Mister79 schrieb:
Nemesis03 könnte es mal ausprobieren, er hat doch diesen Router zuhause oder mach es doch selbst und poste uns dein Ergebnis. Bis jetzt sind die Hinweise auf diesen IAD nur Vermutung was die Firmware betrifft.
In der export-Datei von Fritzboxen ist eine Checksumme gespeichert. Wenn man diese nicht anpasst, wird der Import verweigert. Es gibt zwar ein Programm, mit dem man die Checksumme anpassen kann: http://www.ip-phone-forum.de/showthread.php?t=79513
aber mir fehlt leider die Zeit dazu, mich einzuarbeiten. Vielleicht hat @nemesis03 die Zeit dafür?
Aber ich bin mir sicher dass sich in der Exportdatei die 2.PVC löschen lässt und man die Konfigurationsdaten der SIP-Accounts ändern kann.
Natürlich ist das nur relevant wenn die aktuelle Fritzbox-Lücke vorhanden ist. Im Gegensatz zu dir gehe ich aber davon aus, dass dies der Fall ist. Du kannst sicher sein, dass das zugrundeliegende System das gleiche ist wie auf der normalen 7570.
Und natürlich muss die Fernwartung über HTTPS eingeschaltet sein. Und ja, die Wahrscheinlichkeit, dass dies jemand macht ist wesentlich geringer als bei einer normalen Fritzbox.
Von daher stimme ich dir zu: rein Wirtschaftlich gesehen lohnt sich ein Bugfix nicht. Wenn vielleicht 1% der Benutzer vom IAD 7570 die Fernwartung über HTTPS an hat dann sind das doch höchstens
Trotz der Unsicherheit, ob eine Lücke vorhanden ist und ob sie sich nutzen lässt, finde ich es besser, vorsorglich eine Warnung auszusprechen, die Funktion nicht zu nutzen (viel Sinn macht es ja eh nicht) - und wenn es nur in diesem Forum ist.
Werde Teil der O₂ Community!
- Melde dich bei Mein O₂ an (oder registriere dich schnell)
- Wähle deinen Nutzernamen für die Community
- Erstelle dein Thema oder deinen Kommentar und lass dir schnell und unkompliziert helfen
Anmelden
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.