Ein Sicherheitsforscher hat bereits im März 2017 ein Leck im Betriebssystem FritzOS der
Fritzbox entdeckt und umgehend den Berliner Hersteller AVM davon unterrichtet. Nach Ablauf einer 90-Tage-Frist ohne Reaktion des Herstellers, veröffentlichte er die Informationen zur Sicherheitslücke nun selbst.
Die Problematik besteht darin, dass Hacker über einen schadhaften Javascript-Code einer beliebigen Web-Seite auf verschiedene Informationen ihres Opfers einsehen könnten. Dabei handle es sich um die Gerätebezeichnung sowie die
MAC- und die IP-Adresse von Geräten mit aktiver IPv6-Verbindung. Ein Zugriff darauf ist jedoch nicht möglich.
AVM reagiert nur sehr verhalten auf die Situation. Man schätze das Risiko als gering ein (CVSS v3: 3,1, low) und wolle in einer der kommenden Versionen eine Lösung parat stellen. Wer sich trotz allem jetzt schon davor schützen möchte, sollte die IPv6-Unterstützung deaktivieren. Die Einstellungen hierfür befinden sich im Web-Interface der Fritzbox unter dem Menüpfad Internet / Zugangsdaten / IPv6.
Bisher ist kein Fall bekannt, indem diese Hacking-Methode tatsächlich angewandt wurde. Ein entsprechendes Update sollte trotzdem durchgeführt werden, sobald es zur Verfügung steht.