Fernzugriffslücke: BSI ruft Fritzbox-Besitzer zu Update auf

Bisher haben laut Hersteller AVM nur 20 Prozent ihre Router-Firmware aktualisiert. Das BSI fordert auch Provider auf, die ihren Kunden eine Fritzbox bereitgestellt haben, schnellstmöglich ein Update auszuliefern. Die damit beseitigte Schwachstelle erlaubt Identitätsdiebstahl und missbräuchliche Telefonnutzung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Besitzern eines AVM-Routers eindringlich, ein seit vergangenem Wochenende verfügbares Firmware-Update einzuspielen. Es schließt ein Sicherheitsleck im Zusammenhang mit der Fernzugriffsfunktion der Fritzbox, das unter anderem eine missbräuchliche Telefonnutzung erlaubt.

Fritzbox-Router wurden von Betrügern per Fernzugriff für missbräuchliche Telefonanrufe genutzt (Bild: AVM).

Dem Berliner Hersteller zufolge haben bisher erst 20 Prozent der Fritzbox-Besitzer das Update installiert. Den restlichen 80 Prozent war das Problem bisher offenbar nicht bekannt oder auch egal, weil sie den Fernzugriff nicht aktiviert haben und das Update daher als überflüssig erachten. Grundsätzlich ist es allerdings ratsam, vom Hersteller herausgegebene Sicherheitsaktualisierungen schnellstmöglich aufzuspielen.

Das BSI ruft auch Provider auf, die ihren Kunden eine Fritzbox bereitgestellt haben, diesen das Update möglichst bald verfügbar zu machen. Das gilt beispielsweise für die von Kabelnetzbetreibern ausgegebenen Varianten Fritzbox 6360, 6340 und 6320 Cable. Kabel Deutschland soll schon mit der Verteilung begonnen haben.

Das Sicherheitsupdate liegt bisher für 20 Routermodelle vor. Auch für die internationalen Varianten bietet AVM inzwischen eine aktualisierte Firmware an. Der Patch selbst sowie eine Installationsanleitung finden sich auf der AVM-Website.

Laut BSI könnte ein Angreifer bei einem ungepatchten Gerät Zugriff auf sämtliche in der Fritzbox gespeicherte Konfigurationsdaten erhalten und diese manipulieren. Zudem besteht die Möglichkeit, Zugangsdaten zu E-Mail-Konten oder zu anderen Online-Diensten auszulesen, sofern der Anwender diese in der Fritzbox hinterlegt hat. Darüber hinaus sind Angreifer dazu in der Lage, kostenpflichtige Telefonate zu führen.

Das BSI hatte auch Nutzern von Asus-Routern zur Aktualisierung ihrer Firmware geraten, nachdem Unbekannte tausende IP-Adressen unsicherer Modelle des Herstellers veröffentlichten. Obwohl Asus schon im Juli 2013 eine fehlerbereinigte Firmware-Version bereitstellte, haben viele Anwender bis heute kein Update durchgeführt.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: AVM, BSI, Fritzbox, Hacker, Netzwerk, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Fernzugriffslücke: BSI ruft Fritzbox-Besitzer zu Update auf

Kommentar hinzufügen
  • Am 12. Februar 2014 um 21:07 von Michael Vollmer

    Das ist doch kein Wunder das die Anwender vorsichtig sind und nicht sofort die Firmware aktualisieren, wer kann den zu 100% garantieren das gerade dannach die Fernnutzung nicht aktiviert ist!!!!

    • Am 13. Februar 2014 um 10:26 von Peer

      Was für ein blödsinniger Kommentar. Wenn die Fernwartung vor dem Update aktiviert war, dann ist sie es auch danach. Wenn sie nicht aktiviert war, ist sie danach auch nicht aktiviert. Es wurde nur im Hintergrund die Sicherheitslücke beseitigt.

      Bei meiner FB7170 und 7390 wurde das Update problemlos durchgeführt. Und die 7170 ist seit eineinhalb Jahren aus dem Support gefallen, nicht gerade üblich, dennoch ein Patch zu liefern, und daher vorbildlich.

      Gegenfrage: wer garantiert dir, dass DLink, Netgear und wie die zahllosen Mitbewerber KEINE Sicherheitslücke haben? Deren Kommunikation in solchen Fällen ist zumeist sehr spärlich.

      Abgesehen davon, dass es für die meisten von denen nach dem Verkauf kein einziges Update mehr gibt. Es wäre naiv zu glauben, dass deren SW ‚garantiert 100%‘ sicher ist. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *