Heft 04/2013, Seite 24 „Sicherheitslücke in DSL-Routern“

Kein Wunder, dass es so kommen musste.

Wer es bei seiner DSL-Hardware so „billig“ (nicht günstig) wie möglich haben will, besonders, wenn auf die vom Provider empfohlene (und von diesem unterstützte) verzichtet und anstatt dessen die einschlägigen Router aus Asien, China und USA eingesetzt werden (meist sogar ohne deutsche Benutzeroberfläche), muss halt (wegen „so billig wie möglich produziert“) damit rechnen, dass so manchem Hersteller der Sicherheitsaspekt vollkommen schnuppe ist, was auch daran zu erkennen ist, dass neuere Firmversionen sehr selten oder gar nicht zur Verfügung gestellt werden – ganz zu schweigen davon, dass eine automatische Prüfung (wie bei den FRITZ!Boxen) auf „neu“ in der Firmware nicht mal vorgesehen ist, was auch auf manches ältere Speedport-Modell zutrifft.

Mancher der „billigen“ ausländischen DSL-Router mit WLAN Access ist ab Werk entweder mit „Standard WLAN Kennwörter“ wie:
Benutzer: admin / Kennwort: password usw.
versehen und wird sehr oft mit aktiviertem WLAN (offen = ohne Verschlüsselung und Kennwort) ausgeliefert, d. h. das WLAN ist bei der „Router Ersteinrichtung“ so offen wie ein Scheunentor“.

Es soll sogar DSL-Router mit WLAN-Access geben/gegeben haben, bei denen WLAN nicht mal abgeschaltet werden kann.

So mancher Nutzer wird mit der meist englischen Benutzeroberfläche und dem i. d. R. in Englisch gehaltenen Handbuch so seine Schwierigkeiten haben.

Hardware Support vom Provider? Wenn keine von ihm unterstützte DSL-Hardware = Fehlanzeige
Vorabtausch bei defekt, wie von den Providern für ihre empfohlenen Router praktiziert? Fehlanzeige

Eine kleine Mitschuld tragen auch viele „Hardware Tester“ der PC-Fachzeitschriften, die so manchen „billigen DSL-Router“ des Öfteren als „Sehr gut“ bewertet haben. Hätten die „Fachleute???“ etwas intensiver geprüft und nicht nur die „Leistungsdaten bewertet“, hätte ihnen die alt bekannte UPnP-Sicherheitslücke (im SDK) auffallen müssen.

Frage: Welches der vielen Speedport Modelle gilt als „nicht betroffen“? Alle, oder erst ab Modell xxxx?

 

Von den aktuellen Speedports kommt keiner mehr von AVM.
Der W920V war der beste. Ich habe einen W900V mit Fritzbox Firmware laufen, der damit nicht von einer Sicherheitslücke betroffen ist.

 

Der W900V ist Berichten, einer Telekom-Stellungnahme und einer Testseite zufolge auch mit der Telekom-Firmware nicht betroffen.

 

Da hast du ja nochmal Glück gehabt.
BTW: Falls dir die Telekom Annex J anbietet, das funktioniert nicht mit deinem Router.

 

Eben.

Hat sie nicht, aber falls sie es tun sollte, weise ich sie darauf hin, dass mein Router schon immer einen Splitter im Auge hatte.

 

War auch nicht das Thema und nicht meine Frage - zumal "..kommt keiner mehr von AVM" falsch ausgedrückt ist.
AVM hat noch nie "Speedports" gebaut - wenn, würden diese Speedports mit einer AVM Firmware arbeiten und nicht mit der von der Telekom angepassten Telekom Firmware.

In PCs, z. Bsp. in denen von MEDION, werkelt, wenn man den Testern einiger einschlägiger PC-Zeitschriften mit merklicher "MEDION Affinität" glauben soll, angeblich eine MSI-Hauptplatine.

Nur weil darin eine im Auftrag von MEDION angefertigte, für MEDION speziell angepasste und nicht für den normalen Handel gedachte MSI-OEM-Platine verbaut ist, kann nicht automatisch (wie oben bei Speedports mit AVM-OEM Platine) davon ausgegengen werden, dass MEDION PCs mit "MSI-OEM-Platine" auch von MSI gebaut werden.

Was AVM (im Auftrag der Telekom) früher einmal getan hat:
Speziell für die Telekom angepasste OEM-FRITZ!Box Platinen hergestellt und dieses "Rohprodukt" an den eigentlichen Speedport Hersteller geliefert.
Grund:
Der eigentliche Speedport Hersteller kam mit der bei einigen Speedport-Modellen früher zu integrierende S0-Schnittstelle nicht klar - daher wurde auf das AVM Know-how zurückgegriffen.
AVM hat die Zusammenarbeit mit der Telekom vor etwas mehr als 2 Jahren eingestellt.

Hoffe für dich, dass der W900V dein Eigentum und er kein Telekom Mietgerät ist.
Wenn aber letzteres, wurde durch das Aufspielen (per Freez / SP2Fritz oder OpenWRT) der schon lange nicht mehr weiter entwickelten FRITZ!Box Fon 7170 Firmware "eine (Firmen)Eigentumsverletzung" (ist gem. BGB eine Straftat) begangen.

Nachteil - wenn der mit 7170 Firmware arbeitende W900V an einem Telekom-DSL-Anschluss werkeln sollte:
Vorsehbares Problem mit dem Telekom Technik Support. Die Telekom Technik wird bei einer eventuell erforderlichen Support Anfrage Anhand der für sie sichbaren Verbindungsdaten (Logindaten) feststellen, dass eine von der Telekom nicht unterstützte "Fremdfirmware" auf dem W900V werkelt - der sonst kostenlose Support wird zunächst abgelehnt - wie es tatsächlich (eigene Erfahrungen) schon mehrmals vorgekommen ist.
Support erst dann, wenn wieder ein von der Telekom unterstützer Router (mit Telekom Firmware) am Anschluss angeschlossen wird.

Ob nicht doch "von einer anderen Sicherheitslücke" betroffen, steht noch nicht fest - richtig ist, dass ALLE AVM FRITZ!Boxen (mit Original Firmware) von der seit langem bekannten UPnP-Sicherheitslücke nicht betroffen sind.

Wie wird es allerdings bei denen von einigen veränderten bzw. selbst geschriebenen FRITZ!Box Firmwareversionen aussehen? Wer weis - wer weis.

 

Die Speedports, die ich gefritzt habe, waren zu dem Zeitpunkt alle im eigenen Besitzt und auch über zwei Jahre alt. Die gefritzen laufen auch ausnahmslos stabiler als die mit der Telekom Firmware. Als ich meinen W701V gefritzt hatte, habe ich sogar geärgert, dass ich das nicht früher gemacht habe.
Die Telekom konnte nämlich die Stabilität in den ersten zwei Jahren des Vertrages nicht erhöhen.

 

Nur als Zusatzinfo:
Ein "gemieteter Router" wie "Speedport", "EasyBox" oder "FRITZ!Box 6360 Cable" usw. geht nicht autom. nach 2 Jahre lang dafür gezahlter Mietgebühr in das Eigentum des Provider Kunden über.

Ausnahme:
Wenn dies so klar und deutlich in der Provider AGB vermerkt ist.

Mancher Router Hersteller gewährt auch eine "freiwillige Herstellergarantie", die oft über die "gesetzliche, 2-jährige Gewährleistung des Händlers/Providers" hinaus geht. Wer vor Ablauf der freiwilligen Herstellergarantie die "Original Firmware" durch eine fremde ersetzt, verliert auch den Anspruch auf die Herstellergarantie.

 

So eng sieht das AVM aber nicht. Wenn sie die Garantie bei nicht offiziellen Firmware ablehnten, würden sie auch nicht die Laborversionen von Enthusiasten kostenlos getestet bekommen. Gerade die nehmen es übel, wenn man auch noch vom Hersteller bestraft wird, nachdem man sich so für ihn eingesetzt hat.

 

Sorry, da hast du anscheinend was missverstanden. Die hauseigenen Firmware-Entwickler der "AVM Laborversionen" haben nur zu sehr wenigen (ausgesuchten) Communitys Kontakt, bzw. tauschen sich mit diesen aus.

Wer hilft u. a. bei der Enwicklung (vor der Veröffentlichung im Downloadbereich) mit?
Von AVM ausgesuchte Entwickler mit Fachwissen, aber niemand, der zu Hause eine FRITZ!Box stehen hat, sowie der Auffassung ist, sich mit Linux auszukennen.

Was AVM (Herr Urban Bastert = der "AVM Pressesprecher", der es eigentlich wissen sollte) bei einer defekten, modifizierten FRITZ!Box bezüglich erhofftem Anspruch auf die freiweillige Herstellergarantie sagt, siehe View attachment 27738 , (Auszug aus PCWELT 4/2013 "Kasten auf Seite 54")
Beachte das von mir in Rot umrahmte.

Bevor AVM seine "Laborversionen" zum allgemeinen Download bereitstellt, wurde diese mehr als ausführlich sowie unter den unterschiedlichsten realen Bedingungen getestet.

Weden solche Enthusiasten dazu aufgefordert, für AVM "kostenlos" tätig zu werden? Wohl kaum.
Was AVM bezüglich "Herstellergarantie bei installierter AVM Laborversion" sagt, siehe im folgenden Abschnitt.

Laut aktueller, telefonischer AVM Support Aussage (wegen aktuellem Fall vom Freitag, 01.03.2013) folgende Zusatzinfo:
1.) Zeigt eine Original FRITZ!Box mit noch bestehender Herstellergarantie nach Installation einer für das FRITZ!Box Modell zur Verfügung gestellten Laborversion einen auch mittels Recovery-Tool nicht zu behebenden Defekt, wird die Original FRITZ!Box ohne wenn und aber vom AVM Support kostenlos repariert.
AVM Bedingungen:
- der Besitzer muss die Versandkosten (Hinsendekosten) übernehmen und einen Kaufnachweis (Rechnungskopie) beilegen
- kein Vorabaustausch, d. h. die Rücksendung kann bis zu 10 Tage dauern.

2.) Handelt es sich um eine schwarze "Branding FRITZ!Box mit bestehder Herstellergarantie" und ist der Besitzer noch Kunde des "blauen Providers", muss er die Reparatur (in diesem Falle den Vorabtausch) mit dessen Technik abklären. Nur wenn abgelehnt, kann sich auch der "Branding FRITZ!Box Besitzer" mit AVM in Verbindung setzen.
AVM Bedingungen dann: Wie unter 1.)

Auf Grund der AVM Support Aussage zur "AVM Laborversion Installation" sehe ich ein, dass ich mich in Bezug auf eventuellen Verlust der freiwilligen Herstellergarantie leider geirrt, bzw. der Info einer seriösen geglaubt habe.