Die Sicherheitslücke bei Fritzbox-Routern betrifft mehr Verbraucher als bekannt. Bisher behauptete der Hersteller AVM, nur Nutzer, die den Fernzugriff aktiviert hätten, seien einem möglichen Angriff ausgesetzt. Recherchen des Fachdienstes Heise Security ergaben nun, dass die Schwachstelle auch ohne die Fernsteuer-Funktion ausgenutzt werden könne.
Millionen Deutsche nutzen die Fritzbox. Von der Schwäche sollen potentiell alle Boxen betroffen sein, reine Internet-Router wie auch solche mit Telefonfunktion.
"Unsere Analyse hat gezeigt, dass ein Angriff sehr viel einfacher ist und prinzipiell alle Boxen betrifft, die es gibt", sagte Heise-Sicherheitsexperte Ronald Eikenberg. "Es zieht sich durch die gesamte Produktpalette."
Er riet Nutzern nachdrücklich, die vom Hersteller AVM veröffentlichten Software-Aktualisierungen zu installieren. Ein AVM-Sprecher wollte den Bericht offiziell nicht kommentieren. "Wir sind von der Polizei gebeten worden, keine weiteren Informationen herauszugeben", sagte er. AVM empfehle wie bisher allen Nutzern, das verfügbare Sicherheits-Update zu installieren. Etwa die Hälfte der Anwender habe dies bisher getan.
Manipulierte Webseiten
Die Fachleute von Heise hatten die alte Version der Fritzbox-Software mit den angebotenen Updates verglichen. So hätten sie die Sicherheitslücke rekonstruiert, erklärte Eikenberg. Die Schwachstelle erlaube es Angreifern, über manipulierte Webseiten Informationen von Fritzboxen abzufischen.
Ursprünglich waren Angriffe bekannt geworden, bei denen Angreifer Fritzboxen gehackt und die Schwachstelle ausgenutzt hatten, um über den sogenannten Fernzugriff auf Kosten des Router-Besitzers sogenannte Telefon-Mehrwertdienste einzurichten. Das kann Kunden ungewollte Kosten von Tausenden von Euro verursachen.
Um das Update zu installieren, müssen Nutzer im Browser "fritz.box" eingeben, um die Nutzeroberfläche des Routers aufzurufen, und hier unter "Assistenten" auf "Update" klicken.