Telefonie-Missbrauch anscheinend kein Massenhack von AVMs Fritzboxen

Vergangene Woche berichtete Der Westen von einem 1&1-Kunden, über dessen Internet-Router Fremde innerhalb einer halben Stunde internationale Telefonate für 4200 Euro ausgelöst haben. Die als Router bei dem Kunden eingesetzte AVM Fritzbox sei mit einem Passwort gesichert gewesen, das zu einer E-Mail-Adresse aus dem Millionen-Pool erphishter Zugangsdaten gehört, der im Januar bekannt wurde. Auf dem PC des Opfers seien auch zwei Trojaner gefunden worden.

Inzwischen kursieren Vermutungen, dass Fritzboxen generell gehackt seien. Die Geräte der Berliner AVM machen immerhin rund die Hälfte der in Deutschland eingesetzten Internet-Router aus. AVMs Pressesprecher Urban Bastert bestätigte gegenüber heise online, dass der Firma "einige wenige Fälle" bekannt seien, bei denen Fremde die Fritzbox von außen mit bekannten Zugangsdaten gezielt angegriffen hätten. Mittels der Fernkonfiguration könnten dann zusätzliche Telefoniegeräte eingerichtet worden sein, über die Anrufe an teure Auslandsnummern beziehungsweise ausländische Mehrwertdienste iniitiert wurden.

Für diesen Angriff genügt schon eine Kombination aus E-Mail-Adresse und Passwort, wenn das Passwort für den https-Fernzugriff dasselbe ist wie für die Konfigurationsoberfläche selbst, die man aus dem internen Netz per Browser erreicht. Dieser Fernzugriff kann direkt auf die Box über deren öffentliche IP-Adresse erfolgen wie auch indirekt über den myfritz-Dienst. AVM hat inzwischen einen Sicherheitshinweis zu der Thematik veröffentlicht.

Der Fernzugriff ist allerdings ab Werk abgeschaltet und muss beim Einrichten vom Nutzer gezielt aktiviert werden. Dabei sollte man aber kein zu simples Passwort wählen, dieses auch nicht gleichzeitig für den https-Zugriff und die Konfigurationsoberfläche der Box nehmen und erst recht nicht noch bei anderen Webdiensten verwenden. Wie man sichere Passwörter wählt und trotzdem den Durchblick behält, beschreibt der heise-Security-Beitrag Passwort-Schutz für jeden. (ea)