Verwirrend: Internet-Domain fritz.box zeigt NFT-Galerie statt Router-Verwaltung
Bereits vor einer Woche haben Unbekannte die Domain "fritz.box" für sich registriert. Ihr Vorhaben ist unklar, Fritz-Besitzer sollten sich vorsehen.
Besitzer eines Routers aus dem Hause AVM dürften nicht schlecht staunen: Wer die Internetadresse "fritz.box" in einen Browser eintippt, erhält außerhalb des heimischen Netzwerks nun einen ungewohnten Anblick. Unbekannte haben die Domain für sich registriert und präsentieren derzeit dort eine NFT-Werbeseite.
Router und WLAN-Geräte von AVM nutzen die Domain "fritz.box" in der Voreinstellung, um Geräten im heimischen LAN einen DNS-Namen zu geben – so ist das eigene Heim-NAS dann mit dem einfach zu merkenden Hostnamen "synology.fritz.box" erreichbar. Die Übersetzung besorgt dabei der in der Fritzbox eingebaute DNS-Server: Er hält eine Liste bekannter Geräte vor und merkt sich zu jedem Gerät Hostname und IP-Adresse. Alle Geräte im Heimnetz fragen standardmäßig diesen im Router integrierten DNS-Resolver, sodass der Kniff funktioniert. Zumindest, solange der Anwender keinen anderen DNS-Server mit der Namensauflösung beauftragt oder etwa eine VPN-Software diese zum Beispiel an den Firmen-DNS überträgt. Auch Apples "iCloud Privat-Relay" nutzt externe DNS-Server und hebelt so die Namensauflösung der Fritzbox aus.
Denn außerhalb des AVM-gestützten Heimnetzes ist die Adresse "fritz.box" eine Domain wie auch etwa "heise.de": Sie ist weltweit erreichbar und ihr Besitzer kann sie mit beliebigen Inhalten belegen. Seit dem 22. Januar ist dies auch der Fall: An diesem Tag haben Unbekannte sich die Domain gesichert, die seit Freitagnacht auch ein TLS-Zertifikat von Let's Encrypt besitzt. Derzeit prangt auf der Adresse eine Werbeseite für NFTs, die wenig Verwechselungsgefahr mit der blau-gelb-weißen Anmeldeseite einer Fritzbox birgt. Was die neuen Besitzer mit ihrer Adresse vorhaben, ist vollkommen unklar: Es könnte sich um einen Fall von Typosquatting handeln, also das Besetzen einer Domain mit ähnlicher Schreibweise wie eine beliebte Internetadresse, um Klicks und Werbeeinnahmen abzugreifen. Aber auch finstere Machenschaften sind denkbar.
Dass sich der Berliner Netzwerkausstatter die Adresse nicht selber gesichert hat, überrascht daher, denn das Missbrauchspotential ist hoch. So könnte ein Angreifer etwa über eine E-Mail-Kampagne Sicherheitshinweise im AVM-Design verschicken, die auf die – für Fritzbox-Besitzer vertraute – Adresse "fritz.box" verweisen. Ruft der Heimnetz-Admin diesen Link von unterwegs auf, könnte eine gefälschte Login-Seite die Zugangsdaten abgreifen. Zwar fehlt für einen konkreten Angriff auf die heimische Fritzbox dann meist deren IP-Adresse, die erbeuteten Zugangsdaten können dann jedoch in weiteren Angriffen nützlich werden.
Auf Nummer sicher per IP-Adresse
Wer sichergehen will, im heimischen Netzwerk mit der Fritzbox zu sprechen, verwendet im Browser statt des Domainnamens "fritz.box" einstweilen einfach die IPv4-Adressen 192.168.178.1 oder 169.254.1.1. Sie sind für private bzw. link-lokale Netzwerke gedacht, werden also nicht im Internet geroutet. Betreibt man einen AVM-Router mit Standardeinstellungen, erreicht man ihn unter beiden IPv4-Adressen. Auch AVM bietet auf seinen Hilfe-Seiten ein paar Lösungsvorschläge.
DNS-basierte Adblocker wie etwa pi-hole oder AdGuard Home klemmen sich zwischen Heimgeräte und Internet und hebeln so den DNS-Resolver der Fritz!Box aus. Nutzer dieser Tools sollten sicherstellen, dass für die Domain "fritz.box" weiterhin der Router zuständig bleibt – sonst funktioniert die DNS-Auflösung der Heimgeräte nicht zuverlässig.
Abhilfe schafft, die Fritz!Box als DNS-Server einzutragen, der ausschliesslich für seine eigenen Domains zuständig ist. Bei Adguard Home gelingt dies etwa in den DNS-Einstellungen im Feld "Upstream-DNS-Server", indem der Admin dort folgende Zeilen ergänzt:
[/fritz.box/]192.168.178.1[/178.168.192.in-addr.arpa/]192.168.178.1
Während die erste Zeile für die Auflösung von Namen zu IP-Adressen zuständig ist, bewirkt die zweite Zeile, dass die Auflösung in Gegenrichtung, also von einer IP-Adresse zu einem sprechenden Namen, auch für IP-Adressen im LAN weiterhin gelingt. Lautet die IP-Adresse Ihrer Fritz!Box nicht 192.168.178.1, so müssen Sie diese natürlich anpassen.
AVM beruhigt in einem ersten Statement gegenüber heise security: Man sei sich seiner Verantwortung bewusst und beobachte den Vorgang genau. Welche Schritte der Netzwerkausstatter, um den sich Verkaufsgerüchte ranken, konkret ergriffen hat, konnte die Redaktion jedoch kurzfristig nicht herausfinden. Bereits kurz nach der Einführung der Top-Level-Domain ".box" hatte es bei manchem Fritzbox-Nutzer Probleme gegeben.
Ein Leser wies uns darauf hin, dass auch Nutzer von Apples Privat-Relay auf Probleme bei der Namensauflösung von fritz.box stoßen. Wir haben den Text entsprechend ergänzt.
(cku)
