AVM Fritzbox - Geheimer Krypto-Schlüssel im Router gefunden

In einer Kabel-Fritzbox wurde im Speicher ein eigentlich geheimer Krypro-Schlüssel gefunden.

Der Sicherheitsexperte Joel Stein hat laut einem Bericht von Heise im Speicher einer Fritzbox für Kabelanschlüsse einen Krypto-Schlüssel gefunden, der eigentlich geheim sein sollte. Der Hersteller AVM benutzt diesen Schlüssel, um Zertifikate zu unterschreiben, die dann für die Verbindungen zwischen Providern und Fritzboxen verwendet werden. Der Provider überprüft anhand dieses Zertifikats und der digitalen Signatur von AVM, ob sich der Router verbinden darf oder nicht.

Der gefundene Schlüssel könnte dazu verwendet werden, selbst erstellte Zertifikate zu erstellen und dann im Namen von AVM zu signieren. Für den Provider besteht dann kein Unterschied mehr zu echten Zertifikaten. Laut Heise wäre es im schlimmsten Fall möglich, auf diese Weise einen fremden Anschluss zu übernehmen und damit mit der Identität eines anderen Nutzers und auf dessen Kosten das Internet zu nutzen.

Der Hersteller AVM kennt das Problem laut dem Bericht aber schon seit Anfang 2015, da zu diesem Zeitpunkt bereits Zertifikate bei Providern ausgetauscht wurden. Warum der eigentliche geheime Krypto-Schlüssel im Speicher einer Fritzbox zu finden ist, hat AVM gegenüber Heise bislang noch nicht beantwortet. Inzwischen existiert zwar ein neuer Krypto-Schlüssel, mit dem die Zertifikate neuer Kabel-Router signiert werden, doch auch der nun gefundene ältere Schlüssel ist noch immer gültig.

Die im Umlauf befindlichen Fritzboxen müssten per Update und über die jeweiligen Provider aktualisiert werden. Falls sich die Provider dazu entscheiden würden, den nun unsicheren Schlüssel zu blockieren, würden aber auch nicht aktualisierte Fritzboxen vom Zugang ins Internet ausgesperrt.

Quelle: Heise