So unsicher ist die Fritzbox wirklich

Anfang Februar warnte der Router-Hersteller AVM vor einer Sicherheitslücke im weitverbreiteten Fritzbox-Router: Kriminelle können in den Router eindringen und zum Beispiel heimlich teure Telefonnummern anrufen. Laut AVM betrifft die Sicherheitslücke den Fernzugang auf die Fritzbox sowie den AVM-eigenen Dienst MyFRITZ.

Wie die Kollegen von Heise Security nun herausfanden, soll das Sicherheitsleck keineswegs nur die Funktionen zum Fernzugriff auf die Fritzbox betreffen – es reicht eine einfache Webseite aus, um sich Zugriff auf den Router zu verschaffen. Damit ist die Sicherheitslücke weit gefährlicher als bisher angenommen.

Heise Security konnte nach eigenen Angaben die genaue Schwachstelle in der Firmware des Fritzbox-Routers herausfinden. Sie soll nichts mit den Fernsteuerungsfunktionen zu tun haben. Ein Angreifer soll durch die Lücke die vollständige Kontrolle über den Router erhalten und kann auf dem Gerät so mit vollen Rechten beliebige Befehle ausführen. Dazu reicht laut Heise Security bereits eine einfache Webseite mit Schad-Software aus.

Wenn ein Fritzbox-Nutzer eine solche manipulierte Webseite aufruft, dann führt die Seite ferngesteuert Befehle aus, die unter anderem die Konfigurationsdatei der Fritzbox auf einen externen Server im Internet kopieren. Neben dem Zugangspasswort zum Fritzbox-Router enthält diese Datei auch weitere sensible Daten – im Klartext. Dazu gehören zum Beispiel die Zugangsdaten für den DSL-Anschluss oder für einen konfigurierten DynDNS-Dienst.

Ein Schutz vor der Sicherheitslücke ist einfach: Bereits vor eineinhalb Wochen stellte AVM für viele Fritzbox-Modelle Firmware-Updates zur Verfügung, welche die Lücke stopfen.

So installieren Sie das Firmware-Update: Öffnen Sie die Konfigurationsoberfläche des Routers, indem Sie im Browser die Adresse http://fritz.box öffnen. Melden Sie sich an und welchsen Sie in den Bereich „System, Update“. Klicken Sie unter „Online-Update“ auf „Neues FRITZ!OS suchen“.

Für folgende Fritzbox-Modelle steht ein Update zur Verfügung:

Für die Fritzbox-Modelle 6360, 6340 und 6320 Cable wird das Update auf die sichere Version 6.03 oder 6.04 direkt vom Kabelanbieter durchgeführt.

Für die 1&1 Homeserver, die auf der Fritzbox basieren, gibt es ebenfalls bereits Sicherheits-Updates. Eine Liste der Updates für die 1&1 HomeServer finden Sie hier.

Passwörter ändern: Sie sollten zudem alle Ihre Passwörter im Router ändern – für den Zugriff auf die Fritzbox, falls möglich für den DSL-Anschluss sowie für alle weiteren in der Fritzbox konfigurierten Dienste wie DynDNS.

Im Artikel „So merken Sie sich Ihre Passwörter“ zeigen wir Ihnen vier Methoden für sichere Passwörter, die man sich trotzdem leicht merken kann.

In der News „Diese Fritzbox-Modelle sind unsicher“ finden Sie eine Liste aller betroffenen Fritzbox-Modelle sowie der aktuellen Firmware-Versionen ohne Sicherheitslücke.