- Anzeige -

Fritz!Box 6360 cable mit Backdoor?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon nowwy » 18.09.2011, 22:19

Aufgrund dieses Threads hier, habe ich mir die Konfiguration meiner 7390 (Signatur aktualisiere ich gleich noch) mal angeschaut und habe mit Erschrecken festgestellt, dass sobald diese am Kabelmodem online geht, ich TR-069 (bzw. heißt es "Automatische Einrichtung durch den Dienstanbieter zulassen" und " Automatische Updates zulassen" siehe Screenshot anbei) gar nicht mehr deaktivieren kann :wut:
Die 7390 ist mein Eigentum, die habe ich selbst bei Amazon vor einiger Zeit erworben und ich möchte nicht, dass hier irgendetwas ferngewartet werden könnte.
Das Kabelmodem (Motorola) ist Eigentum von UM. Aber bei der 7390 möchte ich das nicht. Somit sieht es - hier bei mir - so aus, dass Unitymedia auch auf Fremdgeräte hinter dem Kabelmodem zugreifen könnte (ob es gemacht wird, weiß ich nicht, in den Logs habe ich nichts gefunden, ich weiß aber auch nicht, ob so ein Eingriff überhaupt protokoliert würde).

Bild

Edit: Signatur wurde aktualisiert.
Modem / TKA: AVM Fritz!Box 6360
Router: Draytek Vigor 2130 (als Exposed Host der FB6360)
Access Point: AVM Fritz!Box 3390 als IP-Client am Draytek Vigor Router
Anschluss: Unitymedia 2play 128 / 6 Mbit/s
Telefonie: Unitymedia, O2
Telefone: Lumia 640 LTE, Fritzphone MT-F, Telekom Speedphone
Fax: Easybell Web
nowwy
Kabelneuling
 
Beiträge: 31
Registriert: 20.07.2010, 19:02

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon oxygen » 18.09.2011, 22:36

nowwy hat geschrieben:Aufgrund dieses Threads hier, habe ich mir die Konfiguration meiner 7390 (Signatur aktualisiere ich gleich noch) mal angeschaut und habe mit Erschrecken festgestellt, dass sobald diese am Kabelmodem online geht, ich TR-069 (bzw. heißt es "Automatische Einrichtung durch den Dienstanbieter zulassen" und " Automatische Updates zulassen" siehe Screenshot anbei) gar nicht mehr deaktivieren kann :wut:
Edit: Signatur wurde aktualisiert.

Du meinst wohl du kannst es nicht aktivieren, das ist ein kleiner Unterschied.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia
oxygen
Glasfaserstrecke
 
Beiträge: 1321
Registriert: 30.09.2009, 16:53

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon gordon » 18.09.2011, 23:07

nowwy hat geschrieben:Aufgrund dieses Threads hier, habe ich mir die Konfiguration meiner 7390 (Signatur aktualisiere ich gleich noch) mal angeschaut und habe mit Erschrecken festgestellt, dass sobald diese am Kabelmodem online geht, ich TR-069 (bzw. heißt es "Automatische Einrichtung durch den Dienstanbieter zulassen" und " Automatische Updates zulassen" siehe Screenshot anbei) gar nicht mehr deaktivieren kann :wut:
Die 7390 ist mein Eigentum, die habe ich selbst bei Amazon vor einiger Zeit erworben und ich möchte nicht, dass hier irgendetwas ferngewartet werden könnte.
Das Kabelmodem (Motorola) ist Eigentum von UM. Aber bei der 7390 möchte ich das nicht. Somit sieht es - hier bei mir - so aus, dass Unitymedia auch auf Fremdgeräte hinter dem Kabelmodem zugreifen könnte (ob es gemacht wird, weiß ich nicht, in den Logs habe ich nichts gefunden, ich weiß aber auch nicht, ob so ein Eingriff überhaupt protokoliert würde).

Bild

Edit: Signatur wurde aktualisiert.

liegt das nicht eher am LAN1-Betrieb? Und wie oxygen schon schrieb: du kannst es nicht mehr aktivieren.
Aber erstmal schön Panik verbreiten.
gordon
Glasfaserstrecke
 
Beiträge: 2417
Registriert: 30.07.2008, 10:09

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon Dinniz » 19.09.2011, 00:46

Ich habe den Reiter in meiner 7390 garnicht.
destroying ne3/4 since 2002
Benutzeravatar
Dinniz
Carrier
 
Beiträge: 10368
Registriert: 21.01.2008, 23:43
Wohnort: NRW

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon iCode » 22.09.2011, 10:59

So ähnlich könnte das dann auf der Gegenseite aussehen...

http://axiros.com/portfolio/solutions-u ... vices.html

Nicht ganz uninteressant auch der Eintrag in den Release Notes zur Firmware 85.05.05:

Code: Alles auswählen
System: NEU - Umschaltung von LAN Port 2-4 zu Bridge-Ports per TR069


Im Grunde lässt sich die Thematik recht einfach zusammenfassen:

Sobald die Fähigkeit gegeben ist, die gesamte Firmware eines TR-069-fähigen Gerätes netzseitig zu aktualisieren, ohne dass der Nutzer dem widersprechen kann, ist jegliches interne Sicherheitsmodell hinfällig, welches das lokale Netzwerk hinter diesem Gerät nicht als zumindest theoretisch exponiert betrachtet.

Das Vertrauen in eine technische Absicherung der eigenen Infrastruktur gegen externen Zugang über das Endgerät wird damit unweigerlich an das Vertrauen in den eigenen ISP gekoppelt. Wer das nicht möchte, muss sich selbst um eine erweiterte Absicherung hinter dem Netzzugangsgerät kümmern.

Bei UM Privatkunden ist das aktuell noch durch den Verzicht auf einen ISP-subventionierten Router möglich. Problematisch wird es bei Telefon-Plus und insbesondere bei Geschäftskunden, die in der Regel keine freie Wahl des Endgerätes haben, dafür aber ggf. erhöhte Ansprüche an den Schutz ihrer internen Infrastruktur. Zu hinterfragen dürfte da nicht nur die grundsätzliche Sicherheit der Parameter für die WiFi Verschlüsselung sein (vom o.a. Port Bridging ganz zu schweigen), sondern ggf. auch die Integrität der von den AVM Boxen oft genutzten VPN Option, welche nicht selten sogar Betriebsstätten miteinander verbindet.

Die in diesem Zusammenhang zu diskutierende Frage sollte sich daher nicht darauf beschränken, WAS theoretisch über TR-069 eingesehen und geändert werden kann, sondern vielmehr erweitert werden auf den ISP-internen Prozess, der - auch im Sinne der Haftungsthematik - transparent protokolliert WAS, WANN und VON WEM eingesehen bzw. geändert wurde.

Vorzuziehen wäre aus Sicht des Kunden natürlich eine Opt-Out Lösung, d.h. die Option TR-069 auf dem Netzzugangsgerät bei entsprechendem Sicherheitsbedarf zu deaktivieren. Dem entgegen steht aus Sicht des ISP nicht zuletzt der Wunsch, Kontrolle über den auf den Endgeräten genutzten Softwarestand zu haben, gerade auch im Hinblick auf aktuelle Entwicklungen wie IPv6.

Ich denke aber in diesen Zielkonflikt wird erst Dynamik kommen, wenn diese Thematik medial etwas kritischer beleuchtet wird...

Würde sich doch anbieten als Freitagsthema bei heise.de ...
iCode
Kabelneuling
 
Beiträge: 4
Registriert: 10.09.2008, 18:15

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon chrsch » 23.09.2011, 18:26

Hallo zusammen,

für dieses Thema registriere ich mich hier auch mal...
Es gab schonmal ein ähnliches Thema hier. Daraufhin habe ich mich im Feb. 2011 per Mail an den Datenschutzbeauftragten/die Datenschutzbeauftragte von UM gewandt ...:

Sehr geehrte Damen und Herren,

mit leichtem Schmunzeln nahm ich vor ca. einem halben Monat den Beitrag[1] im inoffiziellen Unitymedia Forum wahr, in dem ein Nutzer sich überrascht über den Zugriff auf seine Fritzbox zeigte. Insbesondere ist er der Überzeugung, dass während des Telefonats mit der Servicerufnummer seitens des Technikers ein Anruf von seinem Anschluss ausgehend ausgelöst wurde.

Vor wenigen Tagen suchte mich ein Techniker von einem Ihrer Sub-Unternehmen wegen einem anderweitigen Problem auf. Ich sprach ihn auf das Thema an, und er erzählte bereitwillig von seinem letzten Auftrag, bei dem er sich über ähnliches gewundert hatte. So war er bei einer Kundin mit Telefonieproblemen und hätte bei seiner Servicehotline mit einem "spezialisierten Techniker" gesprochen. Dieser hätte neben den Einstellungen der Fritzbox auch die Anrufliste einsehen können.

Zugriffs- und Konfigurationsmöglichkeiten via TR-069 sind mir bekannt, ebenso jedoch auch die Tatsache, dass darauf aufbauend weitere Informationen übertragen werden können, die außerhalb der Spezifikation liegen. Darüber hinaus sieht TR-069 lediglich das "Setzen" von VoIP Parametern, nicht das "Lesen" vor.

Ich bitte Sie daher um Auskunft:

- wie weitreichend der Zugriff auf Endgeräte von Kunden seitens Unitymedia ist.
- welche Daten Unitymedia aus den Endgeräten auslesen kann.
- ob dieser Zugriff deaktiviert oder geschützt werden kann, bspw. mittels eines Passworts.
- welche Richtlinien Unitymedia für die Verwendung der so gewonnenen Daten festgelegt hat.
- wie der Zugriff seitens Unitymedia gegen eine unberechtigte Nutzung abgesichert ist. (z.B. 4-Augen Prinzip)
- ob der Zugriff via TR-069 über einen gesondert geschützten Kanal erfolgt.

Für Ihre Bemühungen bedanke ich mich im Voraus und verbleibe

mit freundlichem Gruß,
...

[1] viewtopic.php?f=10&t=14996


... welche/r mir per Post folgendes geantwortet hat:


Sehr geehrter Herr ...,

vielen Dank für ihre E-Mail.

Gerne geben wir Ihnen eine umfassende Erklärung, inwiefern Unitymedia - unter Berücksichtigungen der Datenschutzbestimmungen - über die Remotefunktion auf die Fritz!Box 6360 zugreifen kann.

Unitymedia kann nicht zugreifen auf:
- Telefonbucheinträge
- Anruflisten
- WLAN-Schlüssel
- Daten auf ext. Speichermedien
- GUI-Passwort
- Gespeicherte Faxe und Anrufbeantworternachrichten
- E-Mail Passwort bei Nutzung von Push-Service und Anrufbeantworter-Mail-Funktion
- Kennwort für Fernwartung (falls vom Nutzer vegeben)
- DynDNS und VPN-Kennworte

Unitymedia kann zugreifen auf:
- SSID des WLAN-Netzes (Name des Funknetzwerkes)
- Host-Name angeschlossener PCs (nicht Daten auf den PCs)
- Telefonnummer und Registrar einer in der Fritz!Box konfigurierten SIP-Line (Telefonleitung), die nicht von Unitymedia stammt (z.B. SIPGATE)

Wir hoffen Ihrer Anfrage hiermit entsprochen zu haben.

Bitte kommen Sie auf und zu, sollten noch weitere Fragen offen geblieben sein.

Mit freundlichen Grüßen

i.A. Sandra Steuber
Unitymedia-Datenschutzteam


Zwar wurden bei weitem nicht alle meiner Fragen beantwortet, ich habe mich an der Stalle aber damals damit zufrieden gegeben.
chrsch
Kabelneuling
 
Beiträge: 1
Registriert: 23.09.2011, 18:11

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon reset » 23.09.2011, 19:15

Da es da ja nun wohl keine einheitliche Linie des "Unitymedia-Datenschutzteams" gibt,
wäre es mal nicht uninteressant, was der jeweilige Landesdatenschutzbeauftragte dazu sagt.

Gruß reset
Benutzeravatar
reset
Glasfaserstrecke
 
Beiträge: 1367
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon couchpotato » 23.09.2011, 20:42

Mal was ganz anderes.

Egal auf was Unity sagt zugreifen zu können.
Auf was könnte man denn zugreifen?

Und könnte man Unity ohne TR-069 nutzen?
Wenn ja, könnte man dann TR-069 deaktivieren?
z.B. durch ein Tool das über Telnet die Box um konfiguriert oder
durch das zurück speichern einer modifizerten Konfiguration.

Denn Unity wird nix an der Box und deren Möglichkeiten ändern, solange kein staatlicher Datenschutz Wichtel zum handeln zwingt.
[ ] <= Bitte hier mit Kugelschreiber ankreuzen wenn sie ein neues TFT-Display möchten
Wenn nicht diese Zeile mit Tipp-Ex oder Edding streichen.

---8<-- Schnipp -----
Unity-Internet (64000kBit)
Router: Fritz!box 6360
Unity-digitalTV (seid ISH)
Receiver: Edision Argus, DBOX1
couchpotato
Kabelneuling
 
Beiträge: 25
Registriert: 18.09.2011, 17:14
Wohnort: irgendwo in NRW

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon shm0 » 29.10.2011, 21:35

hallo

sorry dass ich den thread wieder raushole. aber bin durch zufall darauf gestoßen weil ich eigentlich die DNS Server ändern wollte.
Um das ganze zu deaktivieren, geht ihr wie folgt vor:

sichert eure einstellungen durch dass web interface.
öffnet die datei mit einem texteditor (notepad++ z.b.)
Fügt direkt oben unter

**** FRITZ!Box 6360 Cable (um) CONFIGURATION EXPORT

die Zeile
NoChecks=Yes hinzu.

Sucht folgenden Abschnitt (sollte ab Zeile 1839 sein)

Code: Alles auswählen
tr069cfg {
        enabled = yes;
        litemode = no;
        tr181_support = no;
        igd {
                DeviceInfo {
                        ProvisioningCode = "AXConfigured!";
                        FirstUseDate = "2010-11-29 20:03:16";
                }
                managementserver {
                        url = "https://acs1.unitymedia.de:7547/live/CPEManager/CPEs/Auth_Basic/avm/";
                        username = "$$$$MWC3MSTQW21IBVRWQYJN1Y6Y21AYSJJTTI6XD6MEAIOMUZB1WHXVOVNXB4ZSY5A15UOLEATVJUD5MZIA";
                        password = "$$$$FADZGWLU6DPTUQ1P5A236R2NKXD6KLTUM1K2A1QFSNBFMIKZ2D52BYETEPS3PATNUF2CXZTPFNFDSZIA";
                        URLAlreadyContacted = yes;
                        URLbyDHCPIface = "dsl";
                        PeriodicInformEnable = yes;
                        PeriodicInformInterval = 28800;
                        PeriodicInformTime = "1970-01-01 01:00:00";
                        UpgradesManaged = no;
                        ACSInitiationEnable = yes;
                        SessionTerminationWithEmptyPost = no;
                        ConnectionRequestUsername = "$$$$QNQKUXF1B1C3FIO5G1M213O3BQXCIZCQCZ3K5FMTWIID1IDHAUN1EBJTQYDBZ4URLRXWDKSIENH6IZIA";
                        ConnectionRequestPassword = "$$$$1T131ZNIHTUARZSEYL1MTBEVVAH6WS5BEUJUE23YD6IKPCJAQEQCPDRVWB6LLO5NDQZ2B3HUBJS6OZIA";
                }
        }
        FirmwareDownload {
                enabled = yes;
                enabled_converted = yes;
                valid = no;
                suppress_notify = no;
                status = 0;
                StartTime = "1970-01-01 01:00:00";
                CompleteTime = "1970-01-01 01:00:00";
                method = Download_Method_DL;
        }
        RebootRequest = no;
        RebootRequest_CommandKey = "";
}


Ändert
enabled = yes;
in
enabled = no;

Datei speichern und wieder in die Box importieren.
In den Systemlogs sollte nun die Zeile:
Der Dienstanbieter hat erfolgreich Einstellungen hat dieses Gerät übertragen.
verschwunden sein.

Um ein Extra Tab in den Einstellungen freizuschalten (unter Internet -> Zugangsart)sucht den Abschnitt: (ab Zeile 618)

Code: Alles auswählen
webui {
        username = "";
        password = "";
        expertmode = yes;
        wizard_completed = no;
        event_filter = 0;
        read_access_without_login = no;
        app_enabled = no;
        ipv6_hidden = no;
        ata_hidden = no;
        lanbridges_gui_hidden = yes;
}


ändert
lanbridges_gui_hidden = yes;
in
lanbridges_gui_hidden = no;

Ich hab jetzt aber nicht überprüft ob die Einstellungen die man dort macht auch wirksam sind.


Kennt wer noch mehr Tricks?

ich werde nachher mal testen was passiert wenn man OEM=unity in OEM=avm ändert. Trau mich aber nicht hinterher brickt die box noch xD
//edit
schade geht nicht. lässt sich dann nicht importieren.
shm0
erfahrener Kabelkunde
 
Beiträge: 87
Registriert: 25.05.2009, 22:18

Re: Fritz!Box 6360 cable mit Backdoor?

Beitragvon sebr » 30.10.2011, 14:53

Du musst den FritzBoxEditor benutzen um die Config zu ändern, sonst stimmt die Prüfsumme nicht.

Ob das mit der neuen 85.05.05 Firmware noch funktioniert weiß ich nicht.
Office Internet & Phone 50
Hardware:
Fritz!Box 6360 Cable (UM) FW: FRITZ!OS 06.04
Ubiquiti UAP-LR
Fritz!Fon MT-F FW: 01.03.34
SNOM 320
sebr
Übergeordneter Verstärkerpunkt
 
Beiträge: 611
Registriert: 27.04.2011, 15:27
Wohnort: Nidda

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Baidu [Spider] und 45 Gäste