Warnung: Providergeräte von Vodafone (Fritz!Box)

Aktuell gibt es bei AVM Geräten eine größere Sicherheitslücke. Selbst die Fritz!Box 7390 soll noch mit einem aktuellen Update vorsorgt worden sein. Wie schaut es bei Vodafone und deren Geräten aus? Natürlich so wie immer, wenn man ein Providergerät in der Hand hat, es gibt keine Updates… Zusätzlich erdreisten sich unsere Provider immer mal wieder mit dem Routerzwang um die Ecke zu kommen. Ich hoffe die Lobby für IT-Sicherheit ist den Provider überlegen, ansonsten haben wir irgendwann nichts mehr zu lachen.

Warum rege ich mich eigentlich so auf?

Vor knapp einem Monat berichtete heise.de über ein Update von AVM Geräten, welches ein Stabilitäts- und Sicherheitsupdate sein sollte. Wenig später stellte sich dann heraus, dass dieses Update wohl doch etwas kritischer war als ursprünglich gedacht. Betroffene berichteten über gekaperte Router, welche sich nicht mehr in ihrem Zugriff befanden. Neu war auch der Umstand, dass es nicht einmal eine externe Freigabe der Benutzeroberfläche benötige, um die Sicherheitslücke auf den Geräten auszunutzen. Es reiche lediglich das aufrufen einer manipulierten Webseite aus dem betreffenden Netzwerk, um die interne Konfiguration zu manipulieren.

Was macht Vodafone?

Nichts! Ich habe einige Kunden die mit einer Providerbox ausgestattet sind… Und was soll ich sagen? Die Boxen haben seit einer geraumen Zeit kein Update bekommen. Bei der Fritz!Box 6591 hängt man noch auf der Version 7.29. Aktuell gibt es für diese Box die Version 7.57. Wer sich schlau machen möchte, der besucht mal die FTP-Server von AVM. Die Router der Vodafone haben ja ganz bewusst keine Updatefunktion auf ihren Geräten aktiviert. Andernfalls könnten User wohl ins Grübeln kommen, wenn ihnen wichtige Updates vorenthalten werden. Ach ja, das oben genannte Update 7.29, ist aus dem Jahre 2021. Wie AVM mit diesem Problem in Zukunft umgehen möchte, bleibt abzuwarten. Schließlich könnte es für AVM zu einem Problem werden, wenn deren Geräte erfolgreich angegriffen werden, weil ein Provider nicht in der Lage war, die verfügbaren Updates zeitnah einzuspielen.

Fazit

So lange unsere Provider sich nicht ihrer Verantwortung bewusst sind, sollte ihnen per Strafzahlung verboten werden, über den Routerzwang zu schwadronieren. Vielleicht wäre mit den Strafzahlungen eine Förderung für unser marodes Netz drin?! Alles was als Infrastruktur zählt pfeift aus dem letzten Loch, ob Straße, Schiene, Strom oder Internet. Es kotzt mich jedes mal aufs neue an, nicht das es jemals anders gewesen wäre. Nichts leisten wollen und sich gegenseitig im Weg stehen, dies ist die momentane Gangart unserer Provider und Politiker. Teilweise überbaut die Telekom sogar schon bestehende und schnelle Internetzugänge, nur damit ihnen nicht die Felle davon schwimmen. Was macht unser Ministerium für Digitales und Verkehr, geführt von unserer “Fortschrittspartei” FDP, nichts was sich zu erwähnen lohnt. Soweit ich das mitbekommen habe, könnten unsere Freunde vom “gelben Widerstand” selbst das Deutschlandticket gegen die Wand fahren… Ist halt kein Porsche mit dem man forciert durch den Verkehr gleiten kann und würde auch nur den Tarifdschungel beseitigen. Was wir in Deutschland halt nicht gebrauchen könnten, wäre eine attraktive Bahn… Mit Wissing in Action und der FDP machen wir das Versagen salonfähig. So können wir die CO₂-Ziele im Verkehrssektor verfehlen und uns noch gut dabei fühlen. Schließlich sind die Autofahrer schuld am verfehlen der Klimaziele und nicht die Rahmenbedingungen. Wie die FDP das Scheitern in der Digitalisierung Deutschlands schönreden will, bleibt abzuwarten. Möchte man mal schnelles Internet sehen und erleben, muss man nur in unseren Nachbarländern Urlaub machen. Das Leben kann so schön sein, wenn man erst handelt und nicht denkt. Zumindest ist die FDP hier konsequent mit dem Einhalten ihrer Wahlversprechen. Das Handeln auch rückwärtsgerichtet sein kann, muss der ein oder andere Wähler noch verkraften.

Zurück zum Routerproblem. Ich rate jedem User, ein eigenes Gerät zu kaufen! Denkt man nur 5 Minuten über das “Sparangebot” der Provider nach, rechnet es sich schon nicht mehr. Nicht das man bereits nach einigen Monaten schon draufzahlt, der Einsatz eines IT-Technikers ist bedeutend teurer, wenn dieser die Schäden eines verpennten Updates bereinigen muss. Mal ganz ehrlich, wer lässt schon seinen Schlüssel mit einem roten Flatterband in der Tür stecken. Übertrieben dargestellt, ist das mit den Geräten von Vodafone so. Jeder IT-Techniker weiß, welche Geräte vorwiegend bei den Providern im Einsatz sind. Folglich müsste man nur den IP-Bereich von Vodafone abscannen und würde garantiert mindestens einen Treffer landen.

Wie ernst es AVM mit dieser Sicherheitslücke sein muss, erkennt man schon an ihrer Verschwiegenheit. Offensichtlich hält man deren Verbreitungsgrad und die geräteübergreifende Schwachstelle als äußerst explosiv.