MyFRITZ! ist ja nichts anderes als ein DynDns-Dienst, insofern bin ich der Meinung, dass es möglich sein muss.
Ich habe jetzt mal die HTTPS-Kommunikation der Box mit webservice.myfritz.net mitgeschnitten und analysiert (inkl. Anlegen eines MyFRITZ!-Kontos als Beginn). Alles nichts Aufregendes, nur einige SOAP-Requests, wie schon vermutet.
Insgesamt habe ich dabei sechs verschiedene Funktionen gesehen:
- RegisterUser
- RegisterBox
- GetServices
- SetService
- SetBoxDisplayName
- GetDnyDNSNames
Gegen die Verwendung ohne FRITZ!Box könnten die
Nutzungsbedingungen von AVM sprechen, obwohl das eher schwammig formuliert ist (z.B. sinngemäß "MyFRITZ!
kann nur mit AVM-Geräten benutzt werden." anstelle von "MyFRITZ!
darf nur mit AVM-Geräten benutzt werden."). Dafür stehen dann auch interessante Aussagen zur Verfügbarkeit und Zuverlässigkeit des MyFRITZ!-Dienstes in den Nutzungsbedingungen.
Technisch dürfte jedenfalls nichts dagegen sprechen, dem Dienst erfolgreich eine FRITZ!Box vorzugaukeln. Lt. Nutzungsbedingungen (Punkt 3.3) darf man den Dienst nicht stören durch eigene Scripte o.ä. ... wenn er es nicht mitbekommt, dürfte diese Bedingung aber erfüllt sein. Spannenderweise ist der Dienst (nach den Angaben
hier) auch nur für die
eigene FRITZ!Box kostenlos ... allerdings fehlt für den Zugriff auf
fremde Boxen (natürlich im Auftrag des jeweiligen Eigentümers) auch eine Preisangabe. Insofern ist die Gefahr der nachträglichen Tarifierung sicherlich als gering anzusehen ...
In Bezug auf den Datenschutz kann man AVM auch nichts Gravierendes vorwerfen. Zwar werden beim Registrieren der Box auch einige Angaben übermittelt, die - zumindest auf den ersten Blick - nicht unbedingt erforderlich sind. Es wird die komplette Datei unter
http://fritz.box/jason_boxinfo.xml mit übermittelt und bei der Firmware-Version der Box und der Seriennummer (das ist die "maca" aus dem Urlader-Environment) kann man sicherlich streiten, ob sie
ohne explizite Zustimmung des Besitzers der Box einfach mal so an AVM übermittelt werden dürfen. Aber das ist wohl eher akademisch ... jedoch würde AVM bei einer entsprechenden Warnung oder einer korrekten Datenschutzerklärung für MyFRITZ! auch kein Zacken aus der Krone brechen.
Allerdings bestätigte sich auch der "Verdacht", daß bei AVM das Kennwort für das MyFRITZ!-Konto zumindest vorübergehend im Klartext vorliegt. So steht es jedenfalls in den SOAP-Requests für RegisterUser und RegisterBox. Damit bestätigt sich dann auch die Berechtigung der Mahnung,
keinesfalls für das Login in die FRITZ!Box dasselbe Kennwort zu verwenden wie für die MyFRITZ!-Anmeldung. Ob das Kennwort bei AVM vor der Speicherung in irgendwelchen Datenbanken "salted and hashed" wird, kann man nur raten ... ich behaupte mal, es wird bei AVM auch im Klartext gespeichert, sonst könnte man ja auch gleich nur den Hash an AVM übertragen. Und wenn ein Angreifer Zugriff auf die AVM-Datenbank erhalten sollte (es gibt genug Beispiele auch bei wesentlich größeren Firmen für solche Vorkommnisse), sollte er wenigstens nicht mit dem MyFRITZ!-Kennwort auch gleich bis auf die Box kommen. Das ist zwar wieder ein weiteres Kennwort, was man sich merken muß, aber gerade hier ist das Schadenspotential dann wieder ähnlich groß, wie bei der Lücke am Anfang des Jahres.
Einige Aktionen auf der Box (MyFritz!-Freigaben und auch die Änderung des Fernwartungsports) führen immer wieder zu Änderungen der MyFRITZ!-Konfiguration bei AVM ... ob jeder so begeistert ist, wenn bei AVM z.B. der Port für das GUI seines NAS auch noch in irgendeiner Datenbank auf potentielle Abnehmer wartet, kann ich nicht einschätzen. Ich verzichte jedenfalls dankend darauf ... bei "old fashioned" Portfreigaben muß ich zwar die URL selbst eintippen, aber dafür weiß AVM dann auch viel weniger über meine Geräte und mögliche Ziele bei mir.
PS: Zwei Beiträge nacheinander ... aber mit größerem zeitlichen Abstand. Ich hoffe, mir wird verziehen ...
