Router-Hack: Was Fritzbox-Besitzer jetzt machen müssen
AVM hat inzwischen Firmware-Updates für mehr als 30 Fritzbox-Modelle herausgebracht, darunter auch einige Altgeräte. Fast alle Lücken sind gestopft. Besitzer einer Fritzbox sollten unbedingt handeln – wir zeigen, wie.
Die letzten drei Tage dürften einige Software-Entwickler Überstunden geschoben haben: Seit Freitagnachmittag erschienen Firmware-Updates für über 30 Router-Modelle. Selbst für alte Fritzboxen wie das Modell 7170 hat AVM inzwischen ausgebesserte Firmware bereitgestellt. Ob auch ein Update für die Fritzbox 7570, einen der ersten VDSL-Router, erscheint, ist noch in Klärung. Das Modell 3170 wird laut AVM indes kein Update bekommen, da dieser Router keine Telefoniefunktion hat.
[Update 11.2.2014 9:55]: Auch für die Fritzbox 7570 gibt es mittlerweile ein Update.
Was war passiert?
In der vorletzten Woche wurde bekannt, dass Fremde die Fritzbox eines Moersers von außen umkonfiguriert hatten. Die Angreifer richteten ein von außen erreichbares Telefoniegerät ein, über das sie dann über längere Zeit zahlreiche kurze Anrufe auf ausländische Mehrwertnummern tätigten, an deren Umsatz sie vermutlich beteiligt sind. Der Schaden erreichte einem Bericht zufolge binnen einer halben Stunde über 4000 Euro.
Nachdem sich weitere Fritzbox-Nutzer meldeten, die auf gleiche Weise geschädigt wurden, ging der Hersteller AVM diesem Fall nach. Vor einer Woche hieß es zunächst, dass nur kleine Zahl von Fritzbox-Nutzern betroffen sei und dass beim Fernzugriff vermutlich auf anderen Wegen – etwa über eingeschleuste Trojaner – beschaffte Zugangsdaten benutzt wurden.
Im Lauf der Woche stellte sich dann heraus, dass die Angreifer einen Weg gefunden hatten, an der Authentifizierung beim Fernzugriff auf die Fritzbox vorbeizukommen: Der Zugriff war ganz ohne Zugangsdaten möglich. Die Angreifer konnten auf der Fritzbox schalten und walten, ohne auch nur ein Passwort eingeben zu müssen. Das Problem betrifft alle Fritzboxen, bei denen der Nutzer die Funktion Fernzugriff aktiviert hat.
Damit geriet AVM in Zugzwang und informierte seine Kunden über die Presse und per E-Mail auch direkt, dass sie den Fernzugriff vorübergehend abschalten sollen, bis der Fall weiter untersucht sei. Am Freitag begann AVM dann neue Firmware für Fritzboxen auszuliefern, bei denen das Loch gestopft war.
Details zum Zugangsloch will AVM erst mitteilen, wenn davon auszugehen ist, dass die meisten Nutzer ihre Fritzboxen mit ausgebesserter Firmware versehen haben. Zu den Angreifern ist bislang nichts bekannt, die Fahndung läuft noch.
Wer muss wie handeln?
Haben Sie den Fernzugriff aktiviert, um von außen etwa per Browser den Anrufbeantworter abzufragen oder Rufumleitungen anzulegen, dann schalten Sie ihn als Erstes ab (Internet, Freigaben, Fritzbox-Dienste, Häkchen bei "Internetzugriff…aktiviert" entfernen und "Übernehmen"). Anschließend überprüfen Sie, ob Fremde ein Internet-Telefon als zusätzliches Telefoniegerät eingerichtet haben (Telefonie, Telefoniegeräte): Gibt es dort Geräte mit dem Anschlusstyp "LAN/WLAN", bearbeiten Sie jedes Gerät und sehen Sie unter Anmeldedaten nach, ob die Anmeldung aus dem Internet erlaubt ist. Falls ja, sichern Sie Beweismittel: Fertigen Sie Screenshots der Telefonie-Konfigurationsseiten an. Außerdem sichern Sie die Anrufliste per Export (Telefonie, Anrufe, Anrufliste, Sichern) sowie das Systemlog (System, Ereignisse, Alle markieren, Copy&Paste in Textverarbeitung).
Nehmen Sie Kontakt zu Ihrem Telefon- oder Internet-Provider auf: Erfragen Sie die aktuell aufgelaufenen Telefonkosten. Sind die unerwartet hoch, schildern Sie Ihren Verdacht, gehackt worden zu sein. Bitten Sie um Kulanz und darum, abgehende Auslandsgespräche vorübergehend zu sperren. Stellen Sie Strafanzeige bei der Polizei.
Ändern Sie nun die Zugangsdaten, also das Passwort für die Konfigurationsseiten (System, Fritzbox-Benutzer, Anmeldung im Heimnetz) und auch Nutzername und Passwort für den Fernzugriff (System, Fritzbox-Benutzer, Benutzer). Wenn Sie mehrere Fritzbox-Nutzer eingerichtet haben, damit auch der Rest der Familie etwa auf eine an die Fritzbox angeschlossene USB-Festplatte zugreifen kann, müssen Sie auch deren Konten bearbeiten. Sollten Sie in den Konten Nutzer finden, die Sie nicht kennen, löschen Sie sie.
Ferner müssen Sie alle weiteren, in der Fritzbox hinterlegten Passworte erneuern, etwa die von E-Mail-Konten für Statusmeldungen per Push-Mail, VPN-Zugänge oder Cloud-Dienste (1&1-Onlinespeicher, Telekom-Mediencenter, Google Play Music). Zum Schluss machen Sie ein Firmware-Update (System, Update, Neues FritzOS suchen). Erst wenn das erfolgreich durchgelaufen ist, dürfen Sie den Fernzugriff wieder aktivieren.
Auch wenn Sie den Fernzugriff an Ihrer Box noch nie benutzt haben, sollten Sie die aktuelle Firmware aufspielen.
Was ist mit vom Provider bereitgestellten Fritzboxen?
Nutzer von providerseitig bereitgestellten Fritzboxen sollten genauso vorgehen wie oben beschrieben. Bei manchen Geräten wie dem "Homeserver" von 1&1 können Sie selbst die direkt von AVM bereitgestellte Firmware einspielen.
Bei Routern für Internet übers TV-Kabel, beispielsweise der von Kabel Deutschland vertriebenen Fritzbox 6360, kann nur der Provider selbst ein Firmware-Update per TR-069 einspielen. Den Kabelprovidern sollen bereits korrigierte Firmwares vorliegen. Allerdings kann es einige Zeit dauern, bis die Provider diese Firmware getestet haben und in ihrem eigenen Netz ausrollen. Bis das erfolgt ist, sollten Sie den Fernzugriff ausgeschaltet lassen. (ea)
