Warum O2
Warenkorb
 Service
Gelöst

Bundesamt für Sicherheit in der Informationstechnik / AVM - Fritzbox

Redsocks
Rang
Das BSI empfiehlt allen(!) Nutzern einer AVM - Fritzbox ein Update durchzuführen. 

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Fritz-Box-Update_11022014.html

 

Ich habe gestern, im Chat, mit den O2 - Spezialisten, erfahren, dass bei O2 nichts diesbezüglich bekannt ist und für die zur Verfügung gestellte gebrandete Fritzbox 7570 VDSL keine Updatemöglichkeit besteht.

 

Da O2 keinen Handlungsbedarf sieht, gehe ich davon aus, dass O2 im vollen Umfang haftet, falls meine Fritzbox gehackt wird.

icon

Lösung von o2_StefanX 19 February 2014, 16:28

Zur Antwort springen
Zu diesem Thema können keine neuen Antworten hinzugefügt werden. Du kannst gern ein eigenes Thema erstellen.

52 Antworten

stefanniehaus
Rang
Benutzerebene 7
Abzeichen +3
Es ist ja bekannt, wie man selbst die Lücke vorerst schließen kann.

Wenn du das absichtlich nicht machst, wirst du kaum o2 zur Verantwortung ziehen können.

Mister79
Rang
Benutzerebene 7
Abzeichen +1
Redsocks schrieb:
Das BSI empfiehlt allen(!) Nutzern einer AVM - Fritzbox ein Update durchzuführen. 

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Fritz-Box-Update_11022014.html

 

Ich habe gestern, im Chat, mit den O2 - Spezialisten, erfahren, dass bei O2 nichts diesbezüglich bekannt ist und für die zur Verfügung gestellte gebrandete Fritzbox 7570 VDSL keine Updatemöglichkeit besteht.

 

Da O2 keinen Handlungsbedarf sieht, gehe ich davon aus, dass O2 im vollen Umfang haftet, falls meine Fritzbox gehackt wird.

Was soll an der 7570 gehackt werden`? Zum einen ist die Software auf der 7570 die eigentlich 7570 H heißt nicht von AVM sondern von Alice/Hansenet und zum zweiten hat die 7570 H von Hansent nichts mit der AVM Lücke zu tun. Die Hardware ist zwar von AVM gestellt aber die Software auf dieser Box ist speziell für Hansenet entwickelt worden. Die Firmware auf diesem Gerät unterstützt eigentlich nix von dem was die Box eigentlich könnte.

 

Für die 7570 von AVM selbst gibt es doch ein Update wenn ich es gerade richtig im Kopf habe.

 

Die Frage wäre eigentlich was O2 gedenkt mit den Usern zu tun die eine 7270 von O2 besitzten oder eine 7390?

 

Hierzu gibt es von O2 bis jetzt keine Informationen.

Was ist letzter Praizzz?
Mister79
Rang
Benutzerebene 7
Abzeichen +1
stefanniehaus schrieb:
Es ist ja bekannt, wie man selbst die Lücke vorerst schließen kann.

Wenn du das absichtlich nicht machst, wirst du kaum o2 zur Verantwortung ziehen können.

Die Lücke kann mit der 7570 H von Alice auf diese Art und weise nicht geschlossen werden. Warum? Die Box unterstützt diese Funktionen nicht da Alice diese Funktionen und viele andere in seine Firmware nicht mit aufgenommen hat.

 

Dann wären ja auch einige Speedports (Hardware von AVM, Firmware von der Telekom) betroffen. Sind die ja auch nicht.

 

Edit

 

In meinen Augen besitzt der Kunde keine Fritzbox. Eine Fritzbox ist nicht nur Hardware, sie ist ein Zusammenspiel der Hardware und der Firmware und genau das ist der Punkt, die Hardware ist zwar AVM aber die Firmware ist Alice. Selbst der Name Firtzbox ist eigentlich auf diesem Gerät nicht angebracht und vermittelt dem Kunden etwas falsches. In Meinen Augen durch Alice seiner Zeit eine Täuschung an den Kunden, der Kunde erwartet unter dem Namen Fritzbox etwas anderes als er eigentlich bekommt bzw bekommen hat.

Was ist letzter Praizzz?
stefanniehaus
Rang
Benutzerebene 7
Abzeichen +3
Wusste nicht, dass es die Funktion dort gar nicht gibt.

Dann ist dieser Thread ja auch vollkommen überflüssig.

 

Und auch wenn die Box von dem Problem betroffen wäre, würde obiges gelten; also nichts wo o2 bei dieser Box in irgendeiner Verantwortung steht.

akapuma
Rang
Benutzerebene 6
Abzeichen +1
Redsocks schrieb:
gebrandete Fritzbox 7570 VDSL keine Updatemöglichkeit besteht.
Bei FritzBoxen versteht man unter "Branding" die Herstellerkennung, z.B. "avm", "avme", "otwo" oder "1und1". Die 7570 gibt es auschließlich mit dem Branding "avme" = internationales AVM.

 

Das IAD 7570 ist, wie bereits geschieben wurde, ein völlig anderes Gerät!

 

Gruß

 

akapuma

binauchhier
Rang
Benutzerebene 2
Mister79 schrieb:
Was soll an der 7570 gehackt werden`? Zum einen ist die Software auf der 7570 die eigentlich 7570 H heißt nicht von AVM sondern von Alice/Hansenet und zum zweiten hat die 7570 H von Hansent nichts mit der AVM Lücke zu tun. Die Hardware ist zwar von AVM gestellt aber die Software auf dieser Box ist speziell für Hansenet entwickelt worden. Die Firmware auf diesem Gerät unterstützt eigentlich nix von dem was die Box eigentlich könnte.
Da wäre ich mir nicht so sicher. Sicherlich wurde die Firmware von AVM kastriert (8 vs. 16MB) _aber_ es ist eine normale Fritzbox-Firmware drauf (das sieht man an u.a. an der Exportdatei - diese ist identisch zu anderen Fritzboxen). Und die Fernwartung ist vorhanden!

Ob das Einrichten von VOIP-Telefonen nur über die Benutzeroberfläche oder auch direkt in der Firmware kastriert wurde, kann ich nicht sagen, aber sicher wäre ich mir nicht...

akapuma
Rang
Benutzerebene 6
Abzeichen +1
Es sind ausschließlich Kunden betroffen, "welche den Fernzugriff aus dem Internet auf ihre FRITZ!Box freigeschaltet haben, beispielsweise über den MyFRITZ!-Dienst". Ich denke nicht, daß ein IAD diese Funktion bereitstellt.

 

Das Einrichten der VoIP-telefonie erfolgt über TR-069 und hat damit nichts zu tun.

 

Eine Firmware zeichnet sich durch die Funktionen aus. Hier unterscheiden sich FritzBox und IAD grundsätzlich. Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.

 

Gruß

 

akapuma

A

 

Die Frage wäre eigentlich was O2 gedenkt mit den Usern zu tun die eine 7270 von O2 besitzten oder eine 7390?

 

Hierzu gibt es von O2 bis jetzt keine Informationen.

Können diese nicht die von AVM bereitgestellten Updates nutzen?

DD19777
Rang
Frank_B1 schrieb:

 

Die Frage wäre eigentlich was O2 gedenkt mit den Usern zu tun die eine 7270 von O2 besitzten oder eine 7390?

 

Hierzu gibt es von O2 bis jetzt keine Informationen.

Können diese nicht die von AVM bereitgestellten Updates nutzen?

Ja kann man. Habe ich auch gemacht. Allerdings bereits vorher schon. Ich habe die FRITZ!Box Fon WLAN 7270 v3 (O2) und Firmware 74.05.5. Ist alles kein Problem, wenn man noch Altkunde ist.  ☺️

A
Ist alles kein Problem, wenn man noch Altkunde ist.  ☺️
Sorry der Nachfrage. Bin kein o2 DSL-ler. Was heißt das? Kann nicht jeder, der diese FB von o2 hat, die Firmware von AVM laden?

akapuma
Rang
Benutzerebene 6
Abzeichen +1
Doch, das kann man, mit 2 kleinen Haken:

 

Man verwendet dann nicht die offiziell freigegebene Firmware, und muß damit rechnen, daß der Kundenservice einem im Störungsfall vorwirft, die Störung käme allein daher, weil man die falsche Firmware verwenden würde. Weil man dann aber eine Störung hat, kann man sich dann auch nicht die "richtige"  alte Firmware downloaden. Bei 1&1 habe ich das schon erlebt.

 

Nicht-o2-User können die neue Firmware per Autoupdate laden. Kunden mit o2-gebrandeter Box müssen das Update manuell per Datei einspielen, und dafür die Expertenansicht aktivieren. Das macht es nicht einfacher.

 

Gruß

 

 

akapuma

 

 

 

A
Danke dir.

 

Vor dem Hintergrund der Sicherheitslücke sollte dann aber o2 eine bereitstellen. Ich habe aber auch auf FB gelesen, dass o2 selbst auf AVM verweist.

 

https://www.facebook.com/o2de?sk=wall&filter=2#!/o2de/posts/10152271901658729?stream_ref=10

binauchhier
Rang
Benutzerebene 2

akapuma schrieb:
Es sind ausschließlich Kunden betroffen, "welche den Fernzugriff aus dem Internet auf ihre FRITZ!Box freigeschaltet haben, beispielsweise über den MyFRITZ!-Dienst". Ich denke nicht, daß ein IAD diese Funktion bereitstellt.

Doch, die Funktion "Fernwartung" ist vorhanden. Siehe Handbuch S. 39.

 

akapuma schrieb:
Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.

Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat? Das ist die normale Firmware der 7570, nur dass ein "paar" Funktionen nicht mit einkompiliert wurden und es wurde eine andere Weboberfläche aufgesetzt.

N
Rang
Benutzerebene 7
Abzeichen +1
binauchhier schrieb:
Doch, die Funktion "Fernzugriff" ist vorhanden. Siehe Handbuch S. 39.

 

akapuma schrieb:
Keinesfalls kann man eine IAD-Firmware "normale FritzBox-Firmware" nennen.

Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat? Das ist die normale Firmware der 7570, nur dass ein "paar" Funktionen nicht mit einkompiliert wurden und es wurde eine andere Weboberfläche aufgesetzt.

Ich habe auch gerade noch mal meine 7570 angeschlossen um zu gucken, ob es die Funktion gibt und bin zum gleichen Ergebnis gekommen.

Die Firmware wurde glaube ich von o2 entwickelt, ist ja aber letztendlich eine (stark) veränderte AVM-Firmware. Ich kann mir auch gut vorstellen, dass o2 bei der Fernwartung auf den Code von AVM zurückgegriffen hat und die Sicherheitslücke somit auch in der 7570 besteht.

A
Laut Heise soll die 7570 ein Update bekommen haben.

 

http://www.heise.de/newsticker/meldung/Router-Hack-Was-Fritzbox-Besitzer-jetzt-machen-muessen-2110186.html

binauchhier
Rang
Benutzerebene 2

Frank_B1 schrieb:
Laut Heise soll die 7570 ein Update bekommen haben.

Ja, die Fritzbox 7570 schon. Aber nicht die Fritzbox 7570 Edition HN. Die Firmware wurde so stark verändert, dass man leider nicht einfach das Update von AVM einspielen kann.

akapuma
Rang
Benutzerebene 6
Abzeichen +1
binauchhier schrieb:
Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat?
Doch, das glaube ich.

 

Ich hatte mal eine W920V (gleiche Hardware wie 7570 und IAD7570) und kann sagen, daß diese Firmware von der Funktionalität her überhaupt nichts mit einer FritzBox zu tun hat. Eine W920V ist gegenüber einer FritzBox nur ein kümmerliches Häufchen Elend. Die kann quasi nix.

 

Bekannterweise ist die W920V aber noch Gold gegenüber einem IAD7570, bei dem man sogar das DECT-Teil deaktiviert hat - eine Grundfunktion von FritzBoxen.

 

Bezüglich der Fernwartung gebe ich Dir recht. Das Problem ist trotzdem nicht vergleichbar.

 

Bei der 7570 handelt es sich eine Fernwartung, die nur kurzzeitig eingeschaltet wird, um Alice auf besonderen Wunsch den Zugang zu ermöglichen. Im Handbuch steht ausdrücklich "Bitte deaktivieren Sie diese Funktion wieder, wenn Sie nicht benötigt wird.". Es ist also nicht vorgesehen, daß dieser Zugang dauerhaft aktiv ist. Es gibt keinen Grund, diesen Zugang aktiviert zu lassen.

 

Bei FritzBoxen handelt es sich jedoch um einen Fernzugriff (MyFritz). Das ist eine Funktion, die jeder User dauerhaft einschalten kann, um so beispielsweise Freunden und Bekannten den Zugriff auf Urlaubsbilder an eine angeschlossene Festplatte zu ermöglichen. Hier ist vorgesehen, daß dieser Zugriff dauerhaft aktiv ist. Und das ist Voraussetzung für die Angreifbarkeit.

 

Gruß

 

akapuma

Mister79
Rang
Benutzerebene 7
Abzeichen +1
Die Sicherheitslücke betrifft ausschließlich die Funktion My Fritz.

 

Ich bitte alle die mit dieser Funktion nichts anfangen können bei AVM auf der Internetseite sich zu belesen.

 

Die Fernwartung auf die hier die ganze Zeit geritten wird hat nichts aber auch gar nichts mit dieser Funktion zu tun. My Fritz und die Fernwartung die im Handbuch steht sind so unterschiedlich wie Tag und Nacht.

 

Bitte, lest euch die Funktion auf der Seite von AVM durch und was man damit so anstellen kann und wir werden feststellen das dies mit der Fernwartung aus dem Benutzerhandbuch nichts zu tun hat.

Was ist letzter Praizzz?
binauchhier
Rang
Benutzerebene 2

akapuma schrieb:
binauchhier schrieb:
Du glaubst doch nicht, dass AVM eine neue Firmware nur für Alice entwickelt hat?
Doch, das glaube ich.

Ich glaube, wir reden aneinander vorbei: Die Firmware bei den Fritzboxen besteht aus zwei aufeinander aufbauenden Schichten. 

Die zugrunde liegende Funktionsschicht steuert die Box. Darauf aufbauend gibt es die Weboberfläche, mit der man auf die Funktionen zugreifen kann.

 

Die Funktionsschicht scheint modular aufgebaut zu sein, so dass man auch einzelne Funktionen (Module) komplett weglassen kann.

Was du als Benutzer zu sehen bekommst, ist aber die Weboberfläche. Und diese ist hier speziell auf die Bedürfnisse von Alice zugeschnitten.

 

Das bedeutet, dass es durchaus sein kann, dass man als Benutzer (der nur die Weboberfläche sieht) einige Funktionen nicht einstellen kann. Der Schluss, dass diese nicht in der Funktionsschicht da sind, ist aber nicht zwangsweise richtig.

 

Wie komme ich darauf? Zum einen, da die Exportdatei vom Aufbau her dem Fritzbox-Standard entspricht. Und diese wird von der Funktionsschicht erzeugt.

Zum Anderen, da ich immer wieder Fehlermeldungen der Art "firmwarecfg: Internal communication error. Exiting. Error: opening page ../html/tools/import_result.html" bekomme. Das bedeutet, ich spreche hier eine Funktion an, die in der Funktionsschicht eingebaut ist. Allerdings habe ich dabei falsche Parameter genutzt [1] und die Funktionsschicht verweist mich auf eine Fehlerseite in der Weboberfläche, die nicht existiert.

 

 

akapuma schrieb: Bei FritzBoxen handelt es sich jedoch um einen Fernzugriff (MyFritz). Das ist eine Funktion, die jeder User dauerhaft einschalten kann, um so beispielsweise Freunden und Bekannten den Zugriff auf Urlaubsbilder an eine angeschlossene Festplatte zu ermöglichen. Hier ist vorgesehen, daß dieser Zugriff dauerhaft aktiv ist. Und das ist Voraussetzung für die Angreifbarkeit.

Und was hindert einen Benutzer daran, die Funktion beim IAD 7570 einzuschalten? Ich kann mir gut vorstellen, dass es Leute gibt, die sie trotzdem eingeschaltet lassen. Z.B. kann man so von unterwegs die verpassten Anrufe einsehen.

[1] In diesem Fall habe ich eine passwortgeschüzte Export-Datei einer anderen Fritzbox importieren wollen. Eigentlich müsste hier die Fehlermeldung "Falsches Kennwort" kommen.

binauchhier
Rang
Benutzerebene 2

Mister79 schrieb:
Die Sicherheitslücke betrifft ausschließlich die Funktion My Fritz.

Das ist falsch. Bitte lies dir die Pressemeldung von AVM oder die entsprechenden Fachforen noch einmal durch. 

 

Alle Fritzbox-Nutzer, welche den Fernzugriff über HTTPS eingeschaltet haben, sind von der Sicherheitslücke betroffen. 

MyFritz ist nur eine von vielen Möglichkeiten, den Fernzugriff zu aktivieren.

 

In Fritz OS6 heißt die Funktion Internetzugriff über HTTPS, in der Presse wird sie oft als Fernzugriff bezeichnet und im IAD 7570 heißt diese Funktion halt Fernwartung über HTTPS.  

 

All diese Funktionen haben nichts mit der Fernkonfiguration über TR069 zu tun. Das ist etwas komplett anderes - hierüber kann der Provider die Einstellungen der Box ändern. Diese Funktion ist nicht betroffen.

akapuma
Rang
Benutzerebene 6
Abzeichen +1
binauchhier schrieb:Ich glaube, wir reden aneinander vorbei: Die Firmware bei den Fritzboxen besteht aus zwei aufeinander aufbauenden Schichten. 

Die zugrunde liegende Funktionsschicht steuert die Box. Darauf aufbauend gibt es die Weboberfläche, mit der man auf die Funktionen zugreifen kann.

Das Modell mit den 2 Schichten ist gut.

 

Beide Modelle haben eine Funktionsschicht. Beide erlauben den Fernzugriff.

 

Bei der 7570 sind in der Weboberfläche verschiedene Möglichkeiten vorgesehen, den Fernzugriff dauerhaft freizuschalten. Bei der Weboberfläche des IAD7570 ist es nicht vorgesehen, diese Schwachstelle zu öffnen.

 

binauchhier schrieb:Und was hindert einen Benutzer daran, die Funktion beim IAD 7570 einzuschalten?

Niemand. Man kann natürlich Sicherheitsfunktionen abschalten, z.B. die WLAN-Verschlüsselung, oder Virenscanner und Firewall am PC. Wenn man sich dann aber etwas einfängt, ist man selber schuld.

 

o2 hat das Ganze ja berbockt. Es wäre mit Sicherheit billiger gewesen, eine Standardbox zu verkaufen, als sich für teuer Geld eine neue Firmware zurechtbasteln zu lassen. Eine 7570 mit vielen Softwarefunktionen und DECT hat bestimmt mehr Verkaufsargumente als ein IAD7570 ohne DECT.

 

Gruß

 

akapuma

Mister79
Rang
Benutzerebene 7
Abzeichen +1
binauchhier schrieb:

Mister79 schrieb:
Die Sicherheitslücke betrifft ausschließlich die Funktion My Fritz.

Das ist falsch. Bitte lies dir die Pressemeldung von AVM oder die entsprechenden Fachforen noch einmal durch. 

 

Alle Fritzbox-Nutzer, welche den Fernzugriff über HTTPS eingeschaltet haben, sind von der Sicherheitslücke betroffen. 

MyFritz ist nur eine von vielen Möglichkeiten, den Fernzugriff zu aktivieren.

 

In Fritz OS6 heißt die Funktion Internetzugriff über HTTPS, in der Presse wird sie oft als Fernzugriff bezeichnet und im IAD 7570 heißt diese Funktion halt Fernwartung über HTTPS.  

 

All diese Funktionen haben nichts mit der Fernkonfiguration über TR069 zu tun. Das ist etwas komplett anderes - hierüber kann der Provider die Einstellungen der Box ändern. Diese Funktion ist nicht betroffen.

Wir reden hier ja über den Router 7570 Hansenet ja?

 

Somit ändert es nichts an der Sache das diese Funktion die bei AVM geschlossen wurde diesen IAD nicht interessiert. Bei der AVM Version konnte so ein DECT Telefon oder ein IP Gerät angemeldet werden mit welchem man aus der Ferne telefonieren kann und somit hohe Kosten erzeugen kann/könnte.

 

Was nützt mir das beim IAD? Aus meiner Sicht gar nichts, diese Funktion ist nicht vorhanden, DECT gibt es nicht und IP Telefonie Geräte anmelden auch nicht. Was soll hier passieren? Jemand schaltet das Wlan aus? Die Verschlüsselung vom Wlan? Wem bringt das was? In meinen Augen ist die Sicherheitslücke auf dem IAD uninteressant, der Schaden welcher verursacht werden könnte liegt in meinen Augen bei nahe zu Null.

 

Anders bei der AVM Version mit DECT und allen anderen Funktionen welche es bei dem IAD nicht gibt. Hier hat AVM ja nachgebessert und ein Update auch für die AVM Version gebracht.

 

Der Punkt wäre wenn überhaupt die O2 7270 oder 7390 welche O2 nun offiziell freigen müsste um das der Kunde diese Firmware über das Autoupdate auch finden kann. Zusätzlich müsste O2 dann auch aufhören den Support zu verweigern und ständig die gleichen Lieder bezüglich Firmware und O2 Freigabe zu singen.

 

Wenn O2 (ich habe mich damit noch nicht beschäftigt) auf die AVM Version und ein manuelles Update verweist, dann sollte O2 auch eine Anleitung dazu im Hilfe Bereich online stellen und dann auf jeden Fall aufhören das Lied der Firmware und Support zu singen.

 

Wie gesagt, was die 7570 Hansenet Box betrifft bleibe ich dabei, die Lücke hat hier keine großen Auswirkungen. Eine Lücke wie bei Netgear gerade aufgetaucht ist, ist da viel interessanter als der IAD.

 

Edit

 

Glaub mir, O2 ist nicht doof und schon gar nicht dämlich. Auch wenn dies mit den IADs manchmal so aussehen mag. Wenn o2 auch nur den Hauch einer Chance sehen würde das durch die Firmware O2 ein Schaden entstehen könnte, dann wäre das schon gefixt. Auch wenn das Update für ein 6431 knapp 1 Jahr gedauert hat aber wenn es um O2 sein Geld geht, geht das auch bei O2 verdammt schnell. Beispiele kann ich dir hier auch nennen, Classic und Comfort Router. Da gab es mal eine Telefonielücke und O2 hat ganze 7 Tage gebraucht um das Problem zu fixen. Die anderen Bugs blieben aber erhalten. Hier zeigt sich ganz genau wann O2 schnell fixen kann und wann O2 gar nicht fixt.

Was ist letzter Praizzz?
binauchhier
Rang
Benutzerebene 2

Mister79 schrieb:Wir reden hier ja über den Router 7570 Hansenet ja?

 

Somit ändert es nichts an der Sache das diese Funktion die bei AVM geschlossen wurde diesen IAD interessiert. Bei der AVM Version konnte so ein DECT Telefon als IP Gerät angemeldet werden und somit aus der Ferne telefonieren und hohe Summen erzeugen.

Nein, diese Funktion ist beim IAD 7570 vorhanden. Du kannst über das Internet via HTTPS auf deine Box zugreifen. Hattest du diese Box jemals in der Hand?

 

Du kannst über die Weboberfläche kein VOIP-Telefon einrichten, ja. Ob diese Funktion aus der Firmware wirklich entfernt wurde oder nur über die Weboberfläche nicht zugänglich ist, würde ich nicht beschwören (siehe mein Beitrag weiter oben). 

 

Und selbst wenn - die Lücke ist vermutlich vorhanden. d.h, prinzipiell kann der Router von außerhalb gekapert werden. Auch wenn dein Telefon nicht verändert werden kann, ist über diese Lücke ein Vollzugriff auf das IAD möglich. Und dieser beschränkt sich nicht darauf, dass jemand Telefonkosten verursacht. Die Angreifer könnten die komplette Konfiguration auslesen und könnten sie auch verändern. Ich habe es nicht ausprobiert, aber in der Exportdatei sind sowohl die DNS-Daten als auch die VOIP-Daten hinterlegt. Wenn man jetzt hier die Server ändert, kann fortan jeglicher Datenverkehr und die Telefongespräche mitgeschnitten werden. Wenn dich das nicht stört, bitte.

 

Und kommt mir bitte nicht mit "im Handbuch steht aber, dass man die Funktion nach benutzen abschalten soll". 99% der Benutzer lesen das Handbuch nicht. Und wie ich schon schrieb - über die Fernwartung kann man sich über verpasste Anrufe informieren. Und das wird sicher der ein oder andere nutzen.

 

Edit: zu deinem Edit: Da stimme ich dir vollkommen zu. O2 kann hierdurch wahrscheinlich kein Schaden entstehen. Daher wird vermutlich auch kein Fix kommen. 

Trotzdem sollte davor gewarnt werden, diese Funktion im IAD 7570 zu nutzen. Denn die Lücke ist mit hoher Wahrscheinlichkeit auch hier vorhanden kann genutzt werden - auch wenn es "nur" zum Schaden des Benutzers ist. Deswegen finde ich es falsch, so zu tun, als ob gar keine Gefahr besteht. Diese ist vorhanden, auch wenn das Schadenspotential ein anderes als bei den original Fritzboxen ist.

Daher sollte man vorsichtshalber darauf hinweisen, auch beim IAD 7570 diese Funktion nicht mehr zu nutzen.


Mister79
Rang
Benutzerebene 7
Abzeichen +1
Nein ich habe die Box nicht und ich werde auch NIEMALS einen IAD von O2 mein eigen nennen. Glaub mir, vorher hack ich mir beide Hände ab.

 

Hier möchte ich an der Stelle nur eins mal sagen, vom Prinzip her bin ich auf deiner Seite und wenn du meine Beiträge kennst oder nur einen Teil meiner Beiträge zum Thema IAD dann würde unsere Unterhaltung auch vielleicht etwas anders verlaufen.

 

Du sagst es ja selbst, vermutlich vorhanden. Wissen wir das? Im Moment müssen wir davon ausgehen das es wohl nicht so ist. Warum? Hatte ich schon angeschnitten, was man O2  vorwerfen kann ist eine Geschäftspolitische Dämlichkeit was die IADs betrifft aber sicher nicht Risikofixes. Wenn O2 in seinen Routern eine Sicherheitslücke entdeckt und diese auf irgendeinen Weg O2 schaden kann und dein Beispiel würde O2 und seinem Lied was die IADs betrifft enorm schaden, umgehend fixen. Dies hat O2 am Classic und Comfort (die beiden Geräte kenne ich recht gut) auch schon bewiesen. Was O2 gar nicht interessiert sind Funktionen die den Kunden betreffen. Ob diese Funktionieren oder nicht juckt O2 nicht die Bohne. Dies gibt das Forum genau so wieder bzw man kann es so aus den Beiträgen raus lesen.

 

Gespräche belauschen? Ich denke das wir seit kurzem erfahren haben das wir dazu keinen Router IAD benötigen und ob dies wirklich möglich ist über DIESE Lücke kann ich nicht sagen. Wenn ja, hätte sich wohl eine Zeitung wie Ct schon längst drauf gestürzt oder diverse andere Seiten.

 

Wie gesagt, viel tragischer als den IAD finde ich die Original 7270 oder 7390 und die Politik von O2 zu diesen Geräten (Support bei nicht von O2 freigegebener Firmware aber trotzdem keine andere Firmware freigen) Die Frage ist auch in welchen Mengen Alice diese Geräte vertrieben hat und wie groß das Risiko bei einer Stückzahl von X Geräten ist.

 

Nemesis03 könnte es mal ausprobieren, er hat doch diesen Router zuhause oder mach es doch selbst und poste uns dein Ergebnis. Bis jetzt sind die Hinweise auf diesen IAD nur Vermutung was die Firmware betrifft.

Was ist letzter Praizzz?
binauchhier
Rang
Benutzerebene 2
Mister79 schrieb:
Hier möchte ich an der Stelle nur eins mal sagen, vom Prinzip her bin ich auf deiner Seite und wenn du meine Beiträge kennst oder nur einen Teil meiner Beiträge zum Thema IAD dann würde unsere Unterhaltung auch vielleicht etwas anders verlaufen.

Gerade weil ich deine Beiträge kenne, wundere ich mich, dass du das IAD 7570 so sehr verteidigst.

 

Mister79 schrieb:
Nemesis03 könnte es mal ausprobieren, er hat doch diesen Router zuhause oder mach es doch selbst und poste uns dein Ergebnis. Bis jetzt sind die Hinweise auf diesen IAD nur Vermutung was die Firmware betrifft.


In der export-Datei von Fritzboxen ist eine Checksumme gespeichert. Wenn man diese nicht anpasst, wird der Import verweigert. Es gibt zwar ein Programm, mit dem man die Checksumme anpassen kann: http://www.ip-phone-forum.de/showthread.php?t=79513

aber mir fehlt leider die Zeit dazu, mich einzuarbeiten. Vielleicht hat @nemesis03 die Zeit dafür?

 

Aber ich bin mir sicher dass sich in der Exportdatei die 2.PVC löschen lässt und man die Konfigurationsdaten der SIP-Accounts ändern kann.

Natürlich ist das nur relevant wenn die aktuelle Fritzbox-Lücke vorhanden ist. Im Gegensatz zu dir gehe ich aber davon aus, dass dies der Fall ist. Du kannst sicher sein, dass das zugrundeliegende System das gleiche ist wie auf der normalen 7570.

Und natürlich muss die Fernwartung über HTTPS eingeschaltet sein. Und ja, die Wahrscheinlichkeit, dass dies jemand macht ist wesentlich geringer als bei einer normalen Fritzbox.

 

Von daher stimme ich dir zu: rein Wirtschaftlich gesehen lohnt sich ein Bugfix nicht. Wenn vielleicht 1% der Benutzer vom IAD 7570 die Fernwartung über HTTPS an hat dann sind das doch höchstens 2 Leute. Und da ist es billiger, denen im Ernstfall die Kosten zu ersetzen.

 

Trotz der Unsicherheit, ob eine Lücke vorhanden ist und ob sie sich nutzen lässt, finde ich es besser, vorsorglich eine Warnung auszusprechen, die Funktion nicht zu nutzen (viel Sinn macht es ja eh nicht) - und wenn es nur in diesem Forum ist. 

Allgemeine Nutzungsbedingungen der O₂ Community
© Telefónica Germany GmbH & Co. OHG Telefónica