Sicherheitsfachleute haben einen verschlüsselten Schlüssel im Speicher der Fritzbox gefunden der eigentlich dazu dienen sollte, Verbindungen zu Providern zu sichern. Dieser geheime Kryptoschlüssel wurde in einer Kabel-Fritzbox entdeckt und offenbart möglicherweise eine Schwachstelle im System.
Der Hersteller AVM benutzt diesen Schlüssel um Zertifikate zu unterschreiben die dann für die Verbindungen zwischen Providern & Fritzboxen verwendet werden. Der Provider überprüft anhand dieses Zertifikats und der digitalen Signatur von AVM, ob sich der Router verbinden darf oder nicht.
Der gefundene Schlüssel könnte dazu verwendet werden selbst erstellte Zertifikate zu erstellen und dann im Namen von AVM zu signieren. Für den Provider besteht dann kein Unterschied weiterhin zu echten Zertifikaten. Laut Heise wäre es im schlimmsten Fall möglich auf diese Weise einen fremden Anschluss zu übernehmen und damit mit der Identität eines anderen Nutzers und auf dessen Kosten das Internet zu nutzen.
Der Hersteller AVM kennt das Problem laut dem Bericht aber schon seit Anfang 2015, da zu diesem Zeitpunkt bereits Zertifikate bei Providern ausgetauscht wurden. Warum der eigentliche geheime Krypto-Schlüssel im Speicher einer Fritzbox zu finden ist, hat AVM gegenüber Heise bislang noch nicht beantwortet. Inzwischen existiert zwar ein neuer Krypto-Schlüssel, mit dem die Zertifikate neuer Kabel-Router signiert werden, allerdings ebenfalls der nun gefundene ältere Schlüssel ist noch immer gültig.
Die im Umlauf befindlichen Fritzboxen müssten per Update und über die jeweiligen Provider aktualisiert werden. Falls sich die Provider dazu entscheiden würden den nun unsicheren Schlüssel zu blockieren würden auch noch nicht aktualisierte Fritzboxen vom Zugang ins Internet ausgesperrt.
Quelle: Heise
Kommentare