Aktuellen Informationen zufolge gibt es eine Lücke in der Software von AVM. Böswillige Webseiten können Informationen über angemeldete Geräte detailliert auslesen. Darunter zählt auch die eindeutige ID der FRITZ!Box. Welche Geräte davon betroffen sind ist nicht eindeutig geklärt. Es dürften aber alle Geräte mit aktivierter IPv6 Unterstützung betreffen.
Wie Heise Security berichtet, sei in der aktuellen Firmware von AVM erneut eine Sicherheitslücke vorzufinden. Angreifer können mit einer manipulierten Webseite alle Daten der angemeldeten Geräte auslesen. Hier sollen MAC-, IP-Adressen und der aktuelle Verbindungsstatus einsehbar sein. Auch die eindeutige ID der FRITZ!Box kann abgegriffen werden.
Das Auslesen der Daten erfolgt, laut Heise, über einen JavaScript, den potentielle Angreifer auf Webseiten platzieren müssen. Hierbei wird dann mit einer Schnittstelle in der FRITZ!Box gesprochen, wobei die FRITZ!Box dank Passwortschutz nicht steuerbar wird. Der (eigentlich) eingebaute Schutz versagt aber nur bei eingeschaltetem IPv6. Bei IPv4 soll der sogenannte „DNS-Rebinding-Schutz“ greifen.
AVM sei indes das Problem bekannt und arbeitet an einer Lösung. Birk Blechschmidt, der das Problem erkannte, informierte die Berliner bereits am 17.März über das Problem. Ob in der aktuellen Firmware 6.85 (FRITZ!Box 7590) das Problem weiterhin besteht ist nicht klar. AVM bestätigte die Lücke, sieht aber ein geringes Risiko und wird diese im nächsten Update stopfen. Derweil hat man sich auf der eigenen Homepage dazu geäußert:
"Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten (nur Gerätebezeichnung, Mac- und IP-Adresse) sichtbar sind. Ein Zugriff ist nicht möglich. Das Risiko ist gering (CVSS v3: 3,1, low). Der Punkt wird in kommenden Versionen gelöst."
