Sicherheitsrisiko oder Sicherheitslücke bei 1und1?

ipsvenne

Neuer User
Mitglied seit
28 Dez 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo,

m. E. können aktuell unberechtigte Personen unbemerkt Fritten austauschen oder zurücksetzen und neu konfigurieren, da sich einige Fritzboxen ohne Internetzugangskennung und Passwort selbständig durch die Fernwartung konfigurieren.

Sind die Zugangsdaten von der Telefonie aus einer FritzBox-Sicherung überall nutzbar?

Laut 1und1 Support kann die Fernwartung für 75XX Fritzboxmodelle nicht abgeschaltet werden!? Für alle anderen Gerätschaften aber schon. Vermutlich da von AVM die Providerboxen gefertigt werden?

Haben wir hier ein Sicherheitsrisiko oder eine Sicherlücke?

Wie schauts bei anderen Anbietern aus?
 
Zuletzt bearbeitet:

ipsvenne

Neuer User
Mitglied seit
28 Dez 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Lässt sich durch einen Hack eigentlich das Kennwort der Fritzbox vom Aufkleber dauerhaft abändern?
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Das ist vielleicht möglich, aber wozu soll das gut sein?
 

ipsvenne

Neuer User
Mitglied seit
28 Dez 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
@eisbärin

Nur Interesse halber dass man sich darauf verlassen kann die ursprüngliche Fritzbox vor sich zu haben und keine manipulierte. Bleibt noch die Seriennummer.

Kannst du das Verhalten mit den Zugangsdaten und der Fernwartung an deinem Anschluss bestätigen?
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
4,834
Punkte für Reaktionen
923
Punkte
113
m. E. können aktuell Putzkolonnen unbemerkt Fritten in Firmen austauschen oder zurücksetzen und neu konfigurieren, da sich einige Fritzboxen ohne Internetzugangskennung und Passwort selbständig durch die Fernwartung konfigurieren.
Das gilt auch für Telekom-Anschlüsse. Da geht es sogar noch einen Schritt weiter, man kann die Rufnummern vom dazugehörigen Anschluss aus ohne Zugangsdaten registrieren.

Edit:
Nur Interesse halber dass man sich darauf verlassen kann die ursprüngliche Fritzbox vor sich zu haben und keine manipulierte.
Man muss die Box nicht austauschen. Man kann auch die komplette Konfiguration der bestehenden Box auslesen, entschlüsseln und ggf. manipulieren (Firmware und/oder Konfiguration), ohne dass der Besitzer/Nutzer was bemerken muss. Bspw. mit einem Notebook (der dafür entsprechend vorbereitet ist) geht das relativ schnell. Physische Zugriffsmöglichkeit auf die betreffenden Fritzbox ist und war schon immer kritisch, egal welcher Provider zum Einsatz kommt.
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Kannst du das Verhalten mit den Zugangsdaten und der Fernwartung an deinem Anschluss bestätigen?
Das habe ich schon jahrelang nicht mehr probiert.
Früher mußte man mindestens den Start-Code oder die Internetzugangskennung + Passwort eingeben.
 

ipsvenne

Neuer User
Mitglied seit
28 Dez 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Bei 1und1 werden ja die Telefonnummern auch ohne Zugangsdaten konfiguriert. Wenn man nun die Daten aus der Sicherung weltweit wo anders einspielt, kann munter lostelefoniert werden?

Theoretisch könnte man nun auch Leitungen anzapften und munter lostelefonieren…
 

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
4,351
Punkte für Reaktionen
270
Punkte
83
Ich könnte mir vorstellen, dass das Anschliessen einer mitgebrachten FB7530 z.B. an die TAE-Dose viel einfacher und komfortabler ist, als sich mit "sperrigen" Scripten und Linux nebst Hardware Zugriff zu verschaffen. Eine DSL-Unterbrechung im Log für 10 Minuten, wird in den seltesten Fällen Argwohn schüren, da das eher ein häufigeres Ereignis darstellt als ein Reboot.
Hat jmd. schon mal z.B. Auskunft bei seinem ISP erhalten, falls am 1.12. zw. 8:07 Uhr und 8:17Uhr DSL unterbrochen war? Gewiefte geben ggfs. noch eine Fakemeldung auf alle Störungen ab ...
LG an thinkabout ;)
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
4,834
Punkte für Reaktionen
923
Punkte
113
Ich könnte mir vorstellen, dass das Anschliessen einer mitgebrachten FB7530 z.B. an die TAE-Dose viel einfacher und komfortabler ist, als sich mit "sperrigen" Scripten und Linux nebst Hardware Zugriff zu verschaffen.
Du übersiehst, dass dabei die komplette Konfiguration verloren geht. Das dürfte u.U. relativ schnell auffallen weil u.a. das WLAN ggf. nicht mehr nutzbar ist (wenn nicht die Standard-Werte benutz wurden die man von der alten Box übernehmen könnte), die DECT-Geräte nicht mehr funktionieren usw. usf. Das wäre also ein relativ plumper "Angriff", der ggf. relativ schnell auffliegt. Zudem ich auch bzgl. des Punktes "mit sperrigen Scripten und Linux [...]" widersprechen muss. Ich habe nicht umsonst erwähnt, dass das z.B. mit einem entsprechend vorbereiteten Notebook (es muss noch nicht einmal ein Linux darauf laufen) relativ einfach und schnell geht. Da dauert der Austausch einer Box ggf. sogar schon länger als die Manipulation der vorhandenen Box. Und der Nutzer bemerkt so die Manipulation u.U. nicht so schnell bzw. gar nicht.
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Ich denke Micha will die 7530 dann nicht dort lassen, sondern nur sie einrichten lassen und dann wieder die alte anstecken.
Und dann zu hause ganz gemütlich die Daten decodieren.
 
  • Like
Reaktionen: Micha0815

ipsvenne

Neuer User
Mitglied seit
28 Dez 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
M. E. wurde durch das Fehlen der Zugangsdaten einiges vereinfacht. Kann doch nicht sein, wenn in Urlaubszeiten ein Firmenanschluss übernommen werden kann. Auch wenn sich beispielsweise keine Endgeräte in der Firma befinden! Kenne Häuser mit Läden, da liegen die Leitungen auch frei und bei uns im Mehrfamilienhaus sind die Verteilerkästen auch zugänglich.
 

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
4,351
Punkte für Reaktionen
270
Punkte
83
Du übersiehst, dass dabei die komplette Konfiguration verloren geht
Wenn ich hier am eigenen Anschluss das TAE-DSL-Kabel aus einer 7590 ziehe, behält diese ihre komplette Konfiguration und in eine andere FB 7530 werden die DSL-/SIP-Account-Daten nach dem Umstecken rasch übertragen. Auch wenn ich es nicht immer live mitbekomme, sind gelegentliche kurze Unterbrechungen des DSL-Signals mit anschliessendem Resync ein nicht sooo ungewöhnliches Ereignis, alsdass ich direkt bei 1und1 besorgt nachfragte, was da wohl der Grund gewesen sein könnte.
LG und Tx @eisbaerin für #12, was mein Ansinnen ist.
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Das Sicherheitsthema hatten wir aber schon mal, als dieses Feature ganz neu war.

Da hatte ich auch schon meine Bedenken geäußert.
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
4,834
Punkte für Reaktionen
923
Punkte
113
[...] sondern nur sie einrichten lassen und dann wieder die alte anstecken.

Ach so ist das gemeint. Dann müsste man erst einmal eruieren, ob die bei der Autokonfiguration zur Box übertragenen Zugangsdaten (für PPPoE, SIP und WebDAV) von dritten überhaupt verwendbar sind. Früher war es ja bei 1und1 imo so (weiß nicht ob das aktuell immer noch so ist), dass die nomadische Nutzung nur dann möglich ist wenn man das Kennwort im KC selbst festgelegt hatte.
Und bei Telekom-Anschlüssen werden u.U. weder PPPoE (de aktiviertem EasyLogin was standardmäßig der Fall ist) noch SIP Daten übertragen (müsste man mal schauen, was da genau an die Box übermittelt wird, habe ich bisher noch nicht gemacht da ich bis jetzt tatsächlich lieber manuell konfiguriert hatte), da ja weder für PPPoE noch für SIP Zugangsdaten notwendig sind (von den Telefonnummern abgesehen).

Ggf. würde ich aber auch in diesem Fall doch "lieber" die komplette Konfiguration der vorhandenen Box auslesen, weil man da eben auch an weitere (relevante) Daten kommt wie bspw. E-Mail Account (bei eingerichtetem Push Mail) usw. Wie schon erwähnt, physischer Zugang ist grundsätzlich ein Sicherheitsrisiko und das nicht erst seit es eine automatische Autokonfiguration gibt.
 
Zuletzt bearbeitet:

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
dass die nomadische Nutzung nur dann möglich ist wenn man das Kennwort im KC selbst festgelegt hatte.
Die meisten haben IMO das Passwort im CC (ControlCenter) nur deshalb selber fest gelegt, weil sie das originale Passwort nicht aus der FB auslesen konnten.
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
4,834
Punkte für Reaktionen
923
Punkte
113
Nun ja, das hatte ich auch schon gehört. Aber wie sieht es denn aktuell aus bzgl. nomadischer Nutzung wenn das Passwort bisher nicht geändert wurde? Und evtl. werden auch neue Passwörter erstellt bei der Autokonfiguration? Oder (ähnlich wie bei der Telekom) gar keine verwendet? Zumindest ersteres ist mir mal an einem 1und1 Anschluss passiert. Nach der automatischen Einrichtung (da allerdings noch mit Startcode, ist schon länger her) wurden neue SIP-Passwörter erstellt. Die alten waren anschließend nicht mehr gültig (waren im KC manuell vergeben worden).
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Aber wie sieht es denn aktuell aus bzgl. nomadischer Nutzung wenn das Passwort bisher nicht geändert wurde?
Ich bin mir nicht 100% sicher ob die mal geändert wurden.
Aber ich habe mal eine Nummer von 1&1 an einem Telekom Anschluß registriert und konnte den anrufen und unterhalten.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
Moinsen


Hat schon mal jemand probiert eine FRITZ!Box mit einer Powerbank zum Laufen zu kriegen?
...dann könnte die "Konfiguration" relativ unauffällig erfolgen :cool:
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via