Experten entdecken eine Sicherheitslücke bei der AVM Fritzbox. Der Krypto-Schlüssel der eigentlich zum Schutz von Verbindungen zu Providern verwendet wird, wurde von Sicherheitsexperten im Speicher der Fritzbox gefunden. Es wurde festgestellt · dass bereits gefälschte Zertifikate damit erstellt wurden · was auf einen Missbrauch des Schlüssels hindeutet.
Update: Laut Heise wurde der in den Fritzboxen gefundene Schlüssel wohl schon für das Ausstellen falscher Zertifikate missbraucht ebenfalls wenn Hersteller AVM das abgestritten hatte. Vodafone hat jedoch gegenüber Heise erklärt, dass das Unternehmen schon im Frühsommer einen Versuch entdeckt hat, bei dem ungültige AVM-Zertifikate in Umlauf gebracht werden sollten.
Vodafone zu denen auch Kabel Deutschland gehört hat die entsprechenden Schlüssel blockiert und nutzt seitdem ein neues Zertifikat. Auch Telecolumbus & Primacom sind bereits abgesichert während Netcologne Unitymedia und wilhelm.tel noch an der Umstellung arbeiten. Je nach Provider kann die Umstellung noch über Ende November hinaus andauern.
Quelle: Heise
Originalmeldung: Der Sicherheitsexperte Joel Stein hat laut einem Bericht von Heise im Speicher einer Fritzbox für Kabelanschlüsse einen Krypto-Schlüssel gefunden der eigentlich geheim sein sollte. Der Hersteller AVM benutzt diesen Schlüssel um Zertifikate zu unterschreiben die dann für die Verbindungen zwischen Providern und Fritzboxen verwendet werden. Der Provider überprüft anhand dieses Zertifikats und der digitalen Signatur von AVM, ob sich der Router verbinden darf oder nicht.
Der gefundene Schlüssel könnte dazu verwendet werden selbst erstellte Zertifikate zu erstellen und dann im Namen von AVM zu signieren. Für den Provider besteht dann kein Unterschied weiterhin zu echten Zertifikaten. Laut Heise wäre es im schlimmsten Fall möglich auf diese Weise einen fremden Anschluss zu übernehmen und damit mit der Identität eines anderen Nutzers und auf dessen Kosten das Internet zu nutzen.
Der Hersteller AVM kennt das Problem laut dem Bericht aber schon seit Anfang 2015, da zu diesem Zeitpunkt bereits Zertifikate bei Providern ausgetauscht wurden. Warum der eigentliche geheime Krypto-Schlüssel im Speicher einer Fritzbox zu finden ist, hat AVM gegenüber Heise bislang noch nicht beantwortet. Inzwischen existiert zwar ein neuer Krypto-Schlüssel, mit dem die Zertifikate neuer Kabel-Router signiert werden, allerdings auch der nun gefundene ältere Schlüssel ist noch immer gültig.
Die im Umlauf befindlichen Fritzboxen müssten per Update und über die jeweiligen Provider aktualisiert werden. Falls sich die Provider dazu entscheiden würden den nun unsicheren Schlüssel zu blockieren würden auch noch nicht aktualisierte Fritzboxen vom Zugang ins Internet ausgesperrt.
Quelle: Heise
Kommentare