Sicherheitsrisiko oder Sicherheitslücke bei 1und1?

ipsvenne

Neuer User
Mitglied seit
28 Dez 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo,

m. E. können aktuell unberechtigte Personen unbemerkt Fritten austauschen oder zurücksetzen und neu konfigurieren, da sich einige Fritzboxen ohne Internetzugangskennung und Passwort selbständig durch die Fernwartung konfigurieren.

Sind die Zugangsdaten von der Telefonie aus einer FritzBox-Sicherung überall nutzbar?

Laut 1und1 Support kann die Fernwartung für 75XX Fritzboxmodelle nicht abgeschaltet werden!? Für alle anderen Gerätschaften aber schon. Vermutlich da von AVM die Providerboxen gefertigt werden?

Haben wir hier ein Sicherheitsrisiko oder eine Sicherlücke?

Wie schauts bei anderen Anbietern aus?
 
Zuletzt bearbeitet:
Lässt sich durch einen Hack eigentlich das Kennwort der Fritzbox vom Aufkleber dauerhaft abändern?
 
Das ist vielleicht möglich, aber wozu soll das gut sein?
 
@eisbärin

Nur Interesse halber dass man sich darauf verlassen kann die ursprüngliche Fritzbox vor sich zu haben und keine manipulierte. Bleibt noch die Seriennummer.

Kannst du das Verhalten mit den Zugangsdaten und der Fernwartung an deinem Anschluss bestätigen?
 
m. E. können aktuell Putzkolonnen unbemerkt Fritten in Firmen austauschen oder zurücksetzen und neu konfigurieren, da sich einige Fritzboxen ohne Internetzugangskennung und Passwort selbständig durch die Fernwartung konfigurieren.
Das gilt auch für Telekom-Anschlüsse. Da geht es sogar noch einen Schritt weiter, man kann die Rufnummern vom dazugehörigen Anschluss aus ohne Zugangsdaten registrieren.

Edit:
Nur Interesse halber dass man sich darauf verlassen kann die ursprüngliche Fritzbox vor sich zu haben und keine manipulierte.
Man muss die Box nicht austauschen. Man kann auch die komplette Konfiguration der bestehenden Box auslesen, entschlüsseln und ggf. manipulieren (Firmware und/oder Konfiguration), ohne dass der Besitzer/Nutzer was bemerken muss. Bspw. mit einem Notebook (der dafür entsprechend vorbereitet ist) geht das relativ schnell. Physische Zugriffsmöglichkeit auf die betreffenden Fritzbox ist und war schon immer kritisch, egal welcher Provider zum Einsatz kommt.
 
Kannst du das Verhalten mit den Zugangsdaten und der Fernwartung an deinem Anschluss bestätigen?
Das habe ich schon jahrelang nicht mehr probiert.
Früher mußte man mindestens den Start-Code oder die Internetzugangskennung + Passwort eingeben.
 
Bei 1und1 werden ja die Telefonnummern auch ohne Zugangsdaten konfiguriert. Wenn man nun die Daten aus der Sicherung weltweit wo anders einspielt, kann munter lostelefoniert werden?

Theoretisch könnte man nun auch Leitungen anzapften und munter lostelefonieren…
 
Ich könnte mir vorstellen, dass das Anschliessen einer mitgebrachten FB7530 z.B. an die TAE-Dose viel einfacher und komfortabler ist, als sich mit "sperrigen" Scripten und Linux nebst Hardware Zugriff zu verschaffen. Eine DSL-Unterbrechung im Log für 10 Minuten, wird in den seltesten Fällen Argwohn schüren, da das eher ein häufigeres Ereignis darstellt als ein Reboot.
Hat jmd. schon mal z.B. Auskunft bei seinem ISP erhalten, falls am 1.12. zw. 8:07 Uhr und 8:17Uhr DSL unterbrochen war? Gewiefte geben ggfs. noch eine Fakemeldung auf alle Störungen ab ...
LG an thinkabout ;)
 
Ich könnte mir vorstellen, dass das Anschliessen einer mitgebrachten FB7530 z.B. an die TAE-Dose viel einfacher und komfortabler ist, als sich mit "sperrigen" Scripten und Linux nebst Hardware Zugriff zu verschaffen.
Du übersiehst, dass dabei die komplette Konfiguration verloren geht. Das dürfte u.U. relativ schnell auffallen weil u.a. das WLAN ggf. nicht mehr nutzbar ist (wenn nicht die Standard-Werte benutz wurden die man von der alten Box übernehmen könnte), die DECT-Geräte nicht mehr funktionieren usw. usf. Das wäre also ein relativ plumper "Angriff", der ggf. relativ schnell auffliegt. Zudem ich auch bzgl. des Punktes "mit sperrigen Scripten und Linux [...]" widersprechen muss. Ich habe nicht umsonst erwähnt, dass das z.B. mit einem entsprechend vorbereiteten Notebook (es muss noch nicht einmal ein Linux darauf laufen) relativ einfach und schnell geht. Da dauert der Austausch einer Box ggf. sogar schon länger als die Manipulation der vorhandenen Box. Und der Nutzer bemerkt so die Manipulation u.U. nicht so schnell bzw. gar nicht.
 
Ich denke Micha will die 7530 dann nicht dort lassen, sondern nur sie einrichten lassen und dann wieder die alte anstecken.
Und dann zu hause ganz gemütlich die Daten decodieren.
 
  • Like
Reaktionen: Micha0815
M. E. wurde durch das Fehlen der Zugangsdaten einiges vereinfacht. Kann doch nicht sein, wenn in Urlaubszeiten ein Firmenanschluss übernommen werden kann. Auch wenn sich beispielsweise keine Endgeräte in der Firma befinden! Kenne Häuser mit Läden, da liegen die Leitungen auch frei und bei uns im Mehrfamilienhaus sind die Verteilerkästen auch zugänglich.
 
Du übersiehst, dass dabei die komplette Konfiguration verloren geht
Wenn ich hier am eigenen Anschluss das TAE-DSL-Kabel aus einer 7590 ziehe, behält diese ihre komplette Konfiguration und in eine andere FB 7530 werden die DSL-/SIP-Account-Daten nach dem Umstecken rasch übertragen. Auch wenn ich es nicht immer live mitbekomme, sind gelegentliche kurze Unterbrechungen des DSL-Signals mit anschliessendem Resync ein nicht sooo ungewöhnliches Ereignis, alsdass ich direkt bei 1und1 besorgt nachfragte, was da wohl der Grund gewesen sein könnte.
LG und Tx @eisbaerin für #12, was mein Ansinnen ist.
 
Das Sicherheitsthema hatten wir aber schon mal, als dieses Feature ganz neu war.

Da hatte ich auch schon meine Bedenken geäußert.
 
[...] sondern nur sie einrichten lassen und dann wieder die alte anstecken.

Ach so ist das gemeint. Dann müsste man erst einmal eruieren, ob die bei der Autokonfiguration zur Box übertragenen Zugangsdaten (für PPPoE, SIP und WebDAV) von dritten überhaupt verwendbar sind. Früher war es ja bei 1und1 imo so (weiß nicht ob das aktuell immer noch so ist), dass die nomadische Nutzung nur dann möglich ist wenn man das Kennwort im KC selbst festgelegt hatte.
Und bei Telekom-Anschlüssen werden u.U. weder PPPoE (de aktiviertem EasyLogin was standardmäßig der Fall ist) noch SIP Daten übertragen (müsste man mal schauen, was da genau an die Box übermittelt wird, habe ich bisher noch nicht gemacht da ich bis jetzt tatsächlich lieber manuell konfiguriert hatte), da ja weder für PPPoE noch für SIP Zugangsdaten notwendig sind (von den Telefonnummern abgesehen).

Ggf. würde ich aber auch in diesem Fall doch "lieber" die komplette Konfiguration der vorhandenen Box auslesen, weil man da eben auch an weitere (relevante) Daten kommt wie bspw. E-Mail Account (bei eingerichtetem Push Mail) usw. Wie schon erwähnt, physischer Zugang ist grundsätzlich ein Sicherheitsrisiko und das nicht erst seit es eine automatische Autokonfiguration gibt.
 
Zuletzt bearbeitet:
dass die nomadische Nutzung nur dann möglich ist wenn man das Kennwort im KC selbst festgelegt hatte.
Die meisten haben IMO das Passwort im CC (ControlCenter) nur deshalb selber fest gelegt, weil sie das originale Passwort nicht aus der FB auslesen konnten.
 
Nun ja, das hatte ich auch schon gehört. Aber wie sieht es denn aktuell aus bzgl. nomadischer Nutzung wenn das Passwort bisher nicht geändert wurde? Und evtl. werden auch neue Passwörter erstellt bei der Autokonfiguration? Oder (ähnlich wie bei der Telekom) gar keine verwendet? Zumindest ersteres ist mir mal an einem 1und1 Anschluss passiert. Nach der automatischen Einrichtung (da allerdings noch mit Startcode, ist schon länger her) wurden neue SIP-Passwörter erstellt. Die alten waren anschließend nicht mehr gültig (waren im KC manuell vergeben worden).
 
Aber wie sieht es denn aktuell aus bzgl. nomadischer Nutzung wenn das Passwort bisher nicht geändert wurde?
Ich bin mir nicht 100% sicher ob die mal geändert wurden.
Aber ich habe mal eine Nummer von 1&1 an einem Telekom Anschluß registriert und konnte den anrufen und unterhalten.
 
Moinsen


Hat schon mal jemand probiert eine FRITZ!Box mit einer Powerbank zum Laufen zu kriegen?
...dann könnte die "Konfiguration" relativ unauffällig erfolgen :cool:
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.