Skip to main content
Warum O2
Warenkorb
Service
Hallo zusammen,



 



zur Information, derzeit warnt AVM vor einer möglichen Sicherheitslücke.



 



http://www.avm.de/de/News/artikel/2014/sicherheitshinweis_telefonmissbrauch.html?linkident=kurznotiert



 



Gruß



Stefan





 



Inzwischen kann der Routerhersteller AVM den Weg der Angreifer nachvollziehen. Es handele sich um einen gezielten Angriff auf Funktionen, die über den Port 443 realisiert werden - insbesondere ist hier der MyFRITZ-Dienst zu nennen. AVM bestätigt in einer Pressemitteilung auch, dass Passwörter entwendet wurden. Die Sicherheitslücke betrifft alle Router, bei denen der Nutzer den MyFRITZ-Dienst oder den Fernzugriff eingeschaltet hat. Allen Anwendern empfiehlt der Hersteller, Passwörter zu ändern, sofern diese mit MyFRITZ in Verbindung stehen - weil sie beispielsweise auch bei anderen Diensten zum Einsatz kommen.



Ab dem Wochenende sollen für erste Modelle Firmware-Updates zur Verfügung stehen, die die Sicherheitslücke schließen sollen. Dann sei auch der MyFRITZ-Dienst wieder sicher - sofern die Passwörter geändert sind. Bis ein Firmware-Update für den eigenen Router veröffentlicht ist, empfiehlt AVM, den Port 443 zu schließen. Konkret heißt dies, die Funktion "Internetzugriff auf die FRITZ!Box über HTTPS" zu deaktivieren



 



Für folgende FRITZ!Box-Modelle gibt es bereits ein Update:



 




  • FRITZ!Box 7490
  • FRITZ!Box 7390
  • FRITZ!Box 7270 v2/v3
  • FRITZ!Box 7240
 



Wichtig:



 




  • Falls Sie zuvor den Fernzugriff (MyFRITZ! und HTTPS) nicht verwendet haben, brauchen Sie nichts weiter zu tun.
 



 



Hier sei auch gesagt, für die 7390 mit O2 Branding kann die Firmware von AVM eingespielt werden. Hierzu ist ein warten auf die Freigabe von O2 nicht nötig. Dazu die Firmware bei AVM laden und unter System als manuelle Firmware Datei einspielen.



 




Auf der AVM-Seite stehen jetzt die Updates für die entsprechenden FritzBoxen zur Verfügung.



 



o2 sollte nun prüfen, ob die o2-Uraltfirmware auch betroffen war, und gegebenfalls die Empfehlung aussprechen, die Firmware zu aktualisieren.



 



Gruß



 



akapuma



 



Edit: Mister79 war schneller...



 



 



 



 



 



 



 



 



 



 



 



 




Es heißt auch in der Meldung, man solle die Sip Passwörter in der Fritz Box ändern. Was mich nun interessieren würde ist, ob das auch für die alten o2 Verträge mit eigener Fritzbox gilt? Nehmen wir einmal an, es war den Hackern möglich die Daten auszulesen, können die dann mit den Sip Daten etwas anfangen oder ist das bei O2 ausgeschlossen (nomadische Nutzung?)?




Eine nomadische Nutzung ist bei O2 und VOIP nicht möglich.



 



Wenn ich das richtig verstanden habe und du mit der 7270 gar keine Funktion genutzt hast um über den MyFritz Log oder der App auf die Box zugreifen zu können, dann ist es an sich auch egal. Denn dann bist du nicht betroffen.



 



Wenn du das Update eingespielt hast und die Zugangsdaten für den MyFritz log geändert hast und in der Telefonie geschaut hast ob dort IP Telefone registriert sind und wenn ja, diese gelöscht hast, dann ist alles im grünen Bereich.



 



Aber wie gesagt, wer den Zugang über MyFritz Log oder der App nicht nutzt oder genutzt hat, den interessiert dieses Problem so oder so nicht.



 



Somit



 



andreas_hd schrieb:

 können die dann mit den Sip Daten etwas anfangen oder ist das bei O2 ausgeschlossen (nomadische Nutzung?)?



sollte die Telefonie von O2 über VOIP nicht betroffen sein. Diese kann auf einem anderen Anschluss nicht genutzt werden.




Vielen Dank für die Erläuterung. Es ist keine "offizielle" Fritzbox. Mein offizieller Comfort Router ging vor einigen Monaten in Rauch auf . Ich habe dann die Hotline angerufen und die konnten mir keinen geeigneten Router mehr verkaufen, ausser eben die 72xx zu 195 Euro. Das war mir zu teuer. Daher hatte ich mir die 7330 für um die 100 Euro gekauft und die Voip Daten nach Anleitung der Hotline selbst eingetragen. Läuft wunderbar. Den Fernzugang hatte ich zufällig vor ca. 2 Wochen entdeckt und aktiviert, damit wir einige Fotos auf dem angesteckten USB Stick für die Familie verteilen können.... So ein Pech, ich wollte erst nicht. Inzwischen ist der  Fernzugriff ausgeschaltet, die  Passwörter habe ich geändert, auch die Sip-Passwörter von den anderen Voip Provider wie Sipgate / DUS. Dort kann man das machen. Bei O2 nicht, daher meine Frage, ob die überhaupt von irgendwo anders verwendet werden können. Da ja nicht Prepaid wie die anderen Anbieter könnten hier horrende Gebühren anfallen. Fände es schön, wenn jemand offizielles von O2 bestätigen könnte, dass selbst bei Diebstahl der VOIP Daten nichts passieren kann, da diese an den eigenen DSL Anschluss gebunden sind, nur so als endgültige Beruhigung.



BTW, bis jetzt für die 7330 noch kein Update




Ich kann mir gut vorstellen, daß es Probleme mit anfallenden Gebühren bei Hacking geben kann, wenn jemand mit Zwangshardware die Fritzbox vorschriftswidrig mit ausgelesenen Daten benutzt (so wie ich).



Bei Unitymedia sind wohl die ersten Fälle aufgetreten und so wie ich gelesen habe, brauchen deren Kunden die Rechnung von teilweise einigen tausend Euro nicht bezahlen.



Dort gibt es eine Fritzbox zum Vertrag dazu (die Glücklichen).




andreas_hd schrieb:

 



BTW, bis jetzt für die 7330 noch kein Update



Nicht? Ich denke doch



 



https://



 



Mach ein Online Update über die Oberfläche der Box




Rico66 schrieb:

Ich kann mir gut vorstellen, daß es Probleme mit anfallenden Gebühren bei Hacking geben kann, wenn jemand mit Zwangshardware die Fritzbox vorschriftswidrig mit ausgelesenen Daten benutzt (so wie ich).



Bei Unitymedia sind wohl die ersten Fälle aufgetreten und so wie ich gelesen habe, brauchen deren Kunden die Rechnung von teilweise einigen tausend Euro nicht bezahlen.



Dort gibt es eine Fritzbox zum Vertrag dazu (die Glücklichen).



Warum? Das Problem kann auch passieren wenn du die Fritte hinter dem IAD anklemmst und über WAN die Funktionen der Box nutzt. Der Zwangsrouter hin oder her, hindert den Angreifer nicht über die Fritzbox zu telefonieren wenn die Fritz Log Funktion genutzt wird.




Für Leute, die auf ihrer 7270 statt der 5.xx-Firmware lieber die allerneueste 6.xx-Beta verwenden wollen, gibt es auch ein Update, nämlich die Version FRITZ!OS 06.04-27396 BETA. Das Autoupdate funktioniert ja leider bei o2-gebrandeten 7270ern nicht. Es gibt zwar neuere Firmwaes mit o2-Branding, diese sind aber nicht offiziell von o2 freigegeben.



 



Die Frage, ob für die alte offizielle 7270er-Firmware überhaupt eine Sicherheitslücke besteht, konnte leider noch nicht geklärt werden.



 



Gruß



 



akapuma




Ist diese Firmware nicht für die 7240?




nemesis03 schrieb:

Ist diese Firmware nicht für die 7240?



Ups - Du hast Recht. Hatte den falschen Link gepostet. Hab's korrigiert.



 



Danke!



 



Gruß



 



akapuma




an akapuma: 



 



Danke für den Tip zur FRITZ!OS 06.04-27396 BETA





 



In Bezug auf das Kundenempfinden, wäre is im Interesse von o2 schnell ein Update anzubieten, ungeachtet ob o2 meint betroffen zu sein oder nicht.



 



Laut AVM sind die Versionen betroffen, insofern der Fernzugriff aktiv ist.



 



Hast Du zu der Version: FRITZ!OS 06.04-27396 BETA



ggf. weitere informationen? Ist die bekannt gewordene Sicherheitslücke dort ebenfalls geschlossen?



Handelt es sich um eine o2 geprüfte / gebrandete Version oder eine AVM Version?



 



Einwenig mehr info dazu wäre toll!



 




pq303 schrieb:Hast Du zu der Version: FRITZ!OS 06.04-27396 BETA



ggf. weitere informationen? Ist die bekannt gewordene Sicherheitslücke dort ebenfalls geschlossen?



Diese Version ist extra dafür herausgekommen, um die Sicherheitslücke zu schließen. Da es diese nicht zum "normalen" Download als ZIP gibt, liegt leider auch kein Changelog bei.



 



 



pq303 schrieb:

Handelt es sich um eine o2 geprüfte / gebrandete Version oder eine AVM Version?



o2 prüft keine neuen Firmwares mehr. Die "ganz alte" bleibt die einzig freigegebene.



Es gibt keine gebrandeten Firmwares. Das Branding steckt in der Box, nicht in der Firmware. Die Firmware muß lediglich das Branding der Box unterstützen. Die verlinkte Firmware unterstützt auf jedem Fall das AVM-Branding sowie das o2-Branding, und mutmaßlich auch das 1&1-Branding.



 



Gruß



 



akapuma




Habe heute meine 7270 v3 (O2) problemlos auf 74.05.54 (05.54) manuell updated, keine Probleme.




TomTommes schrieb:

Habe heute meine 7270 v3 (O2) problemlos auf 74.05.54 (05.54) manuell updated, keine Probleme.



Warum auch? Die Firmware selbst ist ja nicht anders. Wie AKA schon sagte, dass Branding ist ein Speicherbereich in dem die Daten liegen wo die Box die Telefoniedaten usw laden kann. Die Firmware selbst ist nicht verändert.




Seit HEUTE ca. 17 Uhr  neue Betaversion von AVM im Downloadbereich !



 



ftp://ftp.avm.de/fritz.box/beta/




Danke für den Link. Leider ist die automatische Verlinkung kaputt.




bkb schrieb:

Seit HEUTE ca. 17 Uhr  neue Betaversion von AVM im Downloadbereich !



 



ftp://ftp.avm.de/fritz.box/beta/



Erstens ist Dein Link falsch. Richtig wäre ftp://ftp.avm.de/fritz.box/beta



 



Und zweitens ist diese Firmware nicht neu, sondern schon seit vorgestern verfügbar.



 



Gruß



 



akapuma




Entschludigung link war / ist verkehrt .



Datum der Datei ist aber der 10.02.



Ich konnte Gestern bzw. Vorgestern nichts finden !




Ich dachte auch, dass ich gestern an der Stelle geguckt und nichts gefunden hätte...




bkb schrieb:

Ich konnte Gestern bzw. Vorgestern nichts finden !



Nein, denn im Beta-Bereich ist die Firmware tatsächlich ganz frisch.



 



Seit vorgestern Abend steht die neue beta aber als Online-Update zur Verfügung. Leider können Kunden mit o2-gebrandeter Box keine Online-Updates nutzen. Einen Direktlink hatte ich gestern hier gepostet.



 



Gruß



 



akapuma



 



 



 




Na da hätte ich mal alle Beiträge lesen sollen.



Habe erst auf Seite 2 angefangen zu lesen.




In Anbetracht dessen, daß AVM sebst für die uralte 7570 (nicht identisch mit dem IAD 7570) ein Update herausgebracht hat, ist zu vermuten, das auch die offizielle o2-Firmware 74.04.86 betroffen ist. In diesem Fall sollte sich o2 etwas einfallen lassen. An sich bleibt wohl nur die Möglichkeit, die aktuelle 74.05.54 zum Download freizugeben, so daß die Boxen sich automatisch aktualisieren können.



 



Gruß



 



akapuma




Kleine Anmerkung:



Die aktuelle AVM-Firmware für die 7570 ist die 75.04.92



Die aktuelle Alice/o2-Firmware für die IAD 7570 ist die 81.05.04 (zumindest die aktuelleste, die ich habe).



 



Die 75.04.92 kann man auch nicht einfach für die IAD 7570 freigeben, da die IAD 7570 eine andere Hardware-Revision hat (auch wenn eigentlich baugleich). Außerdem würde dann ja die Einrichtung mit der Zugangs-PIN nicht mehr funktionieren.




Ich denke mal, eine 7570 und ein IAD 7570 kann man überhaupt nicht vergleichen. Die 7570 ist eine FritzBox mit den Funktionen einer FritzBox. Ein IAD 7570 hingegen hat eine Firmware, die kaum Funktionen hat, und nichtmal die Hardware ganz unterstützt. Sogar die W920V-Variante der Telekom ist leistungsfähiger. Was sollte man beim IAD hacken? Die Box kann doch nix.



 



Gruß



 



akapuma