AVM Fritzbox : In einer Kabel-Fritzbox wurde im Speicher ein eigentlich geheimer Krypro-Schlüssel gefunden. In einer Kabel-Fritzbox wurde im Speicher ein eigentlich geheimer Krypro-Schlüssel gefunden.

Update: Laut Heise wurde der in den Fritzboxen gefundene Schlüssel wohl schon für das Ausstellen falscher Zertifikate missbraucht, obwohl Hersteller AVM das abgestritten hatte. Vodafone hat jedoch gegenüber Heise erklärt, dass das Unternehmen schon im Frühsommer einen Versuch entdeckt hat, bei dem ungültige AVM-Zertifikate in Umlauf gebracht werden sollten.

Vodafone, zu denen auch Kabel Deutschland gehört, hat die entsprechenden Schlüssel blockiert und nutzt seitdem ein neues Zertifikat. Auch Telecolumbus und Primacom sind bereits abgesichert, während Netcologne, Unitymedia und wilhelm.tel noch an der Umstellung arbeiten. Je nach Provider kann die Umstellung noch über Ende November hinaus andauern.

Quelle: Heise

Originalmeldung: Der Sicherheitsexperte Joel Stein hat laut einem Bericht von Heise im Speicher einer Fritzbox für Kabelanschlüsse einen Krypto-Schlüssel gefunden, der eigentlich geheim sein sollte. Der Hersteller AVM benutzt diesen Schlüssel, um Zertifikate zu unterschreiben, die dann für die Verbindungen zwischen Providern und Fritzboxen verwendet werden. Der Provider überprüft anhand dieses Zertifikats und der digitalen Signatur von AVM, ob sich der Router verbinden darf oder nicht.

Der gefundene Schlüssel könnte dazu verwendet werden, selbst erstellte Zertifikate zu erstellen und dann im Namen von AVM zu signieren. Für den Provider besteht dann kein Unterschied mehr zu echten Zertifikaten. Laut Heise wäre es im schlimmsten Fall möglich, auf diese Weise einen fremden Anschluss zu übernehmen und damit mit der Identität eines anderen Nutzers und auf dessen Kosten das Internet zu nutzen.

Der Hersteller AVM kennt das Problem laut dem Bericht aber schon seit Anfang 2015, da zu diesem Zeitpunkt bereits Zertifikate bei Providern ausgetauscht wurden. Warum der eigentliche geheime Krypto-Schlüssel im Speicher einer Fritzbox zu finden ist, hat AVM gegenüber Heise bislang noch nicht beantwortet. Inzwischen existiert zwar ein neuer Krypto-Schlüssel, mit dem die Zertifikate neuer Kabel-Router signiert werden, doch auch der nun gefundene ältere Schlüssel ist noch immer gültig.

Die im Umlauf befindlichen Fritzboxen müssten per Update und über die jeweiligen Provider aktualisiert werden. Falls sich die Provider dazu entscheiden würden, den nun unsicheren Schlüssel zu blockieren, würden aber auch nicht aktualisierte Fritzboxen vom Zugang ins Internet ausgesperrt.

Quelle: Heise