Eine Sicherheitslücke erlaubt offenbar einen Blick in das Heimnetz eines Fritzbox-Nutzers, wie Heise.de berichtet. Angreifer können dabei den Hostnamen der angemeldeten Geräte auslesen, ihre lokalen IP- und MAC-Adressen, sowie ob diese momentan mit dem Router verbunden sind. Zudem plaudert die Fritzbox die Modellbezeichnung inklusive ID aus. Zuletzt ist es auch noch möglich, E-Mail-Adressen auszulesen, solange eine Fritz-App am Router angemeldet ist.

Auch aktuelle Firmware betroffen

Die Schwachstelle soll auch bei der aktuellen Firmware ausnutzbar sein. Mittels JavaScript werden die Daten ausgelesen. Der Angriff erfolgt über DNS-Rebinding – die FritzBox ist dadurch steuerbar, allerdings sind die meisten Funktionen mit einem Passwort geschützt. All jene ohne Passwort kann der dementsprechende JavaScript-Code ansteuern und Daten auslesen. Offenbar greift der DNS-Rebinding-Schutz bei IPv6 nicht richtig, weshalb der Angriff überhaupt erst möglich ist.

AVM kontaktiert, aber keine Reaktion

Aufgedeckt hat die Schwachstelle Birk Blechschmidt, der AVM, den Hersteller von den Routern bereits am 17. März kontaktierte. Allerdings meldete sich das Unternehmen nicht mehr bei Blechschmidt, weshalb dieser an die Öffentlichkeit ging. Auf Nachfrage von Heise kündigte AVM an, dass Problem mit einem Update zu lösen. Die davon ausgehende Gefahr stufte der Fritzbox-Macher in die "unterste Kategorie" ein. Wer trotzdem sichergehen will, kann die IPv6-Unterstützung bis zum Update deaktivieren. (red, 10.07.2017)