AVM stopft Sicherheitsloch in Fritzboxen

Der Worst Case: Ein Demo-Exploit führt Code mit Root-Rechten auf der Fritzbox aus.

Bei der Analyse des jüngsten Firmware-Updates für die Fritzbox machte der von heise Security beauftragte Sicherheitsforscher Hanno Heinrichs eine überraschende Entdeckung: Die FritzOS-Version 6.83 beseitigt einen fatalen, zuvor unbekannten Programmierfehler, der zu einem Pufferüberlauf führt. Ein Angreifer kann solche Fehler fast immer ausnutzen, um das anfällige System zu kapern. Da der betroffene Dienst als root läuft, hätte ein Eindringling weitreichende Manipulationsmöglichkeiten: Er könnte etwa den Datenverkehr mitlesen oder den VoIP-Anschluss seines Opfers für kostspielige Anrufe missbrauchen.

heise Security informierte AVM im März über die Existenz der Sicherheitslücke; in der Folge bemühten sich beide gemeinsam um ein genaueres Verständnis des Sachverhalts.

Schließlich konnte heise Security das Einschleusen und Ausführen von Code mit einem von Heinrichs zusammen mit Robert Femmer und Kristoffer Janke entwickelten Proof-of-Concept-Exploit nachvollziehen und hat den Fritzbox-Hersteller über die Details in Kenntnis gesetzt.

AVM konnte das Einschleusen und Ausführen von Code übers Netz nicht nachstellen. Nach Einschätzung des Herstellers wäre dies insbesondere „bei kundenüblichem Einsatz der Produkte praktisch unmöglich“. Heinrichs hingegen ist der Überzeugung, man könnte seinen nur als Machbarkeitsstudie entworfenen Exploit durchaus mit überschaubarem Aufwand zu einem zuverlässigen Angriffswerkzeug weiterentwickeln.

Von dem Pufferüberlauf betroffen sind die Fritzbox-Modelle 7390, 7490 und 7580 mit den Firmware-Versionen 6.80 oder 6.81. Die Fritzbox-Varianten für Kabel-Breitbandanschlüsse sind laut AVM nicht anfällig. Für Abhilfe sorgt FritzOS 6.83, das AVM seit März an seine Kunden verteilt.

Wer eine Fritzbox betreibt und auch zukünftig auf der sicheren Seite sein möchte, sollte verifizieren, dass die Update-Automatik des Routers aktiv ist. Sie finden die Einstellung im Webinterface der Fritzbox (https://fritz.box) unter System, Update und Auto-Update.

Aktivieren Sie „Über neue FRITZ!OS-Versionen informieren und notwendige Updates automatisch installieren (Empfohlen)“ oder „Über neue FRITZ!OS-Versionen informieren und neue Versionen automatisch installieren“, damit der AVM-Router sicherheitsrelevante Firmeware-Updates automatisch installiert. Laut AVM ist es der Update-Automatik zu verdanken, dass inzwischen kaum noch Router mit der anfälligen Firmware ausgestattet sind. (rei@ct.de)

Microsoft-Login ohne Passwort

Der Microsoft Authenticator kann die Passworteingabe im Webbrowser durch eine Authentifizierung am Smartphone ersetzen, etwa per PIN oder Fingerabdruck.

Microsoft hat eine Möglichkeit geschaffen, sich im Webbrowser an Microsoft-Diensten anzumelden, ohne jedes Mal das Kennwort für sein Microsoft-Konto eingeben zu müssen. Das funktioniert mit aktuellen Versionen der App „Microsoft Authenticator“ für Android und iOS.

Gänzlich ohne Passwort erfolgt der Login natürlich nicht: Bei der Einrichtung der App loggt sich der Anwender in dieser mit seinem Microsoft-Konto ein. Beim Login an einem Microsoft-Webdienst genügt dann nach der Eingabe des Kontonamens statt Eintippen des Passworts ein Klick auf „Stattdessen die Microsoft Authenticator-App verwenden“. Die Mobil-App fordert daraufhin eine Bestätigung durch den Anwender ein. Das erfolgt über den Sperrmechanismus des Smartphones, also beispielsweise per Fingerabdruck, Wischmuster oder PIN.

Obgleich sich die Authenticator-App auch zum Generieren von Codes für Zwei-Faktor-Authentifizierungen eignet, findet eine solche in diesem Fall nicht statt; vielmehr wird schlicht ein Authentifizierungsfaktor (Passworteingabe im Webbrowser) auf das Smartphone verlagert. Praktisch ist das vor allem, wenn das Passwort sehr kompliziert ist und die Authentifizierung am Smartphone per Fingerabdrucksensor erfolgt. (fab@ct.de)

Samsung: Smart-TVs sind sicher

Vor einigen Wochen entdeckte Sicherheitsforscher Amihai Neiderman einen ganzen Berg von teils erheblichen Lücken in Samsungs selbst entwickeltem Betriebssystem Tizen. Samsung behauptet, man habe die genannten Lücken untersucht und sei zu dem Ergebnis gekommen, dass weder Smart-TVs noch Smartwatches von Sicherheitsproblemen betroffen seien. Details nannte Samsung allerdings nicht; auch eine Anfrage von c’t blieb bis Redaktionsschluss unbeantwortet. Das System, das außer in Smart-TVs und Uhren auch in einigen Smartphones für den russischen und indischen Markt zum Einsatz kommt, ist weltweit auf rund 30 Millionen Geräten installiert. (des@ct.de)