Fritzbox-Nutzer können ausgespäht werden

Ein Sicherheitsforscher hat bereits im März 2017 ein Leck im Betriebssystem FritzOS der Fritzbox entdeckt und umgehend den Berliner Hersteller AVM davon unterrichtet. Nach Ablauf einer 90-Tage-Frist ohne Reaktion des Herstellers, veröffentlichte er die Informationen zur Sicherheitslücke nun selbst.

Die Problematik besteht darin, dass Hacker über einen schadhaften Javascript-Code einer beliebigen Web-Seite auf verschiedene Informationen ihres Opfers einsehen könnten. Dabei handle es sich um die Gerätebezeichnung sowie die MAC- und die IP-Adresse von Geräten mit aktiver IPv6-Verbindung. Ein Zugriff darauf ist jedoch nicht möglich.

AVM reagiert nur sehr verhalten auf die Situation. Man schätze das Risiko als gering ein (CVSS v3: 3,1, low) und wolle in einer der kommenden Versionen eine Lösung parat stellen. Wer sich trotz allem jetzt schon davor schützen möchte, sollte die IPv6-Unterstützung deaktivieren. Die Einstellungen hierfür befinden sich im Web-Interface der Fritzbox unter dem Menüpfad Internet / Zugangsdaten / IPv6.

Bisher ist kein Fall bekannt, indem diese Hacking-Methode tatsächlich angewandt wurde. Ein entsprechendes Update sollte trotzdem durchgeführt werden, sobald es zur Verfügung steht.