Schwache Schlüssel auch auf Fritz-Boxen

Auch der Fernwartungszugang aktueller Fritz-Box-Router verwendet auf Grund des Debian-OpenSSL-Fehlers einen schwachen Schlüssel. Sie ist damit zwar keine Hintertür für Hacker, aber anfällig für Man-in-the-middle-Attacken.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Johannes Endres

Im Mai stattete ein Firmware-Update die aktuellen Modelle 7170 und 7270 der Fritz!Box-Router von AVM mit einem per https verschlüsselten Fernwartungszugang aus. Der dafür verwendete Server-Schlüssel im Router ist vom Debian-OpenSSL-Bug betroffen, wie sich bei der Prüfung mit unserem Online-Tool https/SSL-Zertifikate testen zeigt.

Das bedeutet jedoch nicht, dass der Fernwartungszugang einem Hacker-Einbruch Vorschub leistet: Ohne Kenntnis des Benutzernamens und Passworts ist kein Zugriff möglich. Die Fernwartung ist in der Werkseinstellung deaktiviert und die Option erscheint erst nach dem Umstellen auf die "Experten-Ansicht".

Allerdings stattet AVM bislang alle Fritz-Boxen mit identischen Schlüsseln aus. Daher kann man am Zertifikat nicht erkennen, ob man sich gerade mit dem eigenen Router verbindet. Als Schutz gegen Man-in-the-middle-Attacken ist das Zertifikat somit nicht geeignet: Falls es einem Angreifer gelingt, die Verbindung über seinen Rechner zu leiten, kann er die Daten mitlesen. Dafür ist zwar etwas mehr Wissen und Aufwand erforderlich als beim passiven Mitschneiden der oft unverschlüsselten Fernzugänge anderer Router. Doch in nahezu allen Situationen, in denen eine Angreifer passiv mitlesen kann, gelingt auch eine Man-in-the-middle-Attacke.

AVM reagiert mit zwei Maßnahmen: In aktuellen Firmware-Updates steckt ein neuer, nicht vom Debian-OpenSSL-Bug betroffener Schlüssel. Damit erzeugt das Tool zwar keine Meldung mehr, doch die Schlüssel sind weiterhin identisch.

Im zweiten Schritt wird ein Update die Erzeugung individueller Schlüssel auf jeder Box nachrüsten. Bereits nächste Woche soll eine neue Fassung der Labor-Firmware "Verbesserte parallele Nutzung von VoIP, IPTV und Online-Spielen" mit dieser Funktion erscheinen. Als Labor-Versionen bezeichnet AVM die Fassungen, in denen neue Funktionen zum öffentlichen Beta-Test bereitstehen. (je)