by: Sascha KuhrauPosted on:

Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem The­ma Hack­ing zum ers­ten Mal befasst, stößt schnell auf Bei­trä­ge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hack­ing-Betriebs­sys­tem zum Down­load Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Mate­rie ein­drin­gen, steht der Snif­fer zum Daten­schnüf­feln doch bereits in vie­len Haus­hal­ten und Orga­ni­sa­tio­nen zum Ein­satz bereit. Die Rede ist von der AVM Fritz!Box!

Glau­ben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netz­werk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmel­de-Ober­flä­che für das Kon­fi­gu­ra­ti­ons­in­ter­face Ihrer Fritz!Box. Sobald Sie sich mit Admi­nis­tra­tor-Rech­ten in dem Log­in ange­mel­det haben, erscheint eine nicht im Anwen­der-Hand­buch der Fritz!Box beschrie­be­ne Funk­ti­on samt Ober­flä­che. Will­kom­men beim inter­nen Schnüf­fel­tool für Ihr Netz­werk!

Screenshot der Capture-Oberfläche der Fritz!Box
Screen­shot Cap­tu­re Ober­flä­che der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnitt­stel­le aus (die Aus­wahl­mög­lich­kei­ten enden nicht mit die­sem Screen­shot, scrol­len Sie ein­fach mal wei­ter nach unten) und drü­cken den “Start”-Button. Wenn Sie der Mei­nung sind, genü­gend Infor­ma­tio­nen an die­ser Schnitt­stel­le mit­ge­schnit­ten zu haben, kli­cken Sie auf “Stopp” und laden den Mit­schnitt auf Ihr End­ge­rät her­un­ter. Nun reicht ein nor­ma­ler Text­be­trach­ter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netz­werk­kom­mu­ni­ka­ti­on im Klar­text vor sich — inklu­si­ve genutz­ter Zugangs­da­ten und Pass­wör­ter. Im Klar­text, sofern kei­ne ver­schlüs­sel­ten Netz­werk­ver­bin­dun­gen wie https oder ande­re für die Über­tra­gung genutzt wur­den. Zahl­rei­che Pro­gram­me und Apps, aber auch nicht sen­si­bi­li­sier­te Anwen­der über­tra­gen Daten unver­schlüs­selt über das Netz­werk. Nut­zern soll­te man stets raten, aus­schließ­lich https-gesi­cher­te Ver­bin­dun­gen im Brow­ser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trug­schluss. Wir haben meh­re­re Model­le begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 getes­tet, es geht!

Glau­ben Sie nicht? Machen Sie doch ein­fach selbst den Test. Akti­vie­ren Sie das Mit­schnei­den wie oben beschrie­ben an der Schnitt­stel­le, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öff­nen Sie wei­te­re Brow­ser­fens­ter, sur­fen Sie ein wenig, nut­zen Sie Anmel­de- oder Regis­trie­rungs­for­mu­la­re. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Down­load und Text­be­trach­ter anwer­fen.

Nor­ma­ler­wei­se kann die Funk­ti­on nur von inner­halb eines Netz­werks auf­ge­ru­fen wer­den. Soll­te jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmel­de-Ober­flä­che auch ande­ren, eher uner­wünsch­ten Nut­zern zur Ver­fü­gung. Eigent­lich selbst­ver­ständ­lich, die Anmel­de-Ober­flä­che der Fritz!Box mit einem star­ken Pass­wort zu sichern.

Eigent­lich ist die­se Funk­ti­on zur Feh­ler­ana­ly­se inte­griert. Wie so oft bei sol­chen Funk­tio­nen, kann die­se jedoch auch zu bös­ar­ti­gen Zwe­cken genutzt wer­den. Sobald Zugang zur Ober­flä­che der Fritz!Box besteht, ist ein Mit­schnei­den des Daten­ver­kehrs ALLER ange­schlos­se­nen Gerä­te mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behör­de, sei­nem Unter­neh­men oder daheim im Pri­vat­netz­werk, dem sei der Blick auf die Para­gra­phen 202a, 202b, 202c (Vor­be­rei­ten des Aus­spä­hens und Abfan­gens von Daten), 303a sowie 303b Straf­ge­setz­buch nahe­ge­legt. Es han­delt sich hier um kein Kava­liers­de­likt, son­dern um eine Straf­tat. Und das gilt auch für den Ein­satz im hei­mi­schen pri­va­ten Netz­werk ohne Kennt­nis der ande­ren Fami­li­en­mit­glie­der / Nut­zer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Ein­satz zuvor mit der Behör­den-/Un­ter­neh­mens­lei­tung, sowie dem Per­so­nal-/Be­triebs­rat und dem Daten­schutz- sowie dem Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten abge­klärt wer­den. Der Ein­satz durch einen Mit­ar­bei­ter außer­halb der IT und ohne Abstim­mung ver­bie­tet sich von selbst.

Update vom 18.02.2018:

AVM hat sich bei uns auf­grund die­ses Arti­kels gemel­det und betont, die­se Funk­ti­on sei für Sup­port- und Dia­gno­se-Zwe­cke gedacht. Das wird auch nicht bestrit­ten. Lei­der hat die Medail­le zwei Sei­ten und so kann die­se Funk­ti­on auch miß­bräuch­lich zum Ein­satz kom­men.

Tipps:

  • Fritz!Box stets mit siche­rem Pass­wort schüt­zen.
  • Prü­fen, ob alle Anwen­dun­gen im inter­nen Netz ver­schlüs­selt kom­mu­ni­zie­ren. Wenn nicht, ent­spre­chend kon­fi­gu­rie­ren. Denn nur unver­schlüs­sel­ter Netz­ver­kehr kann im Klar­text mit­ge­le­sen wer­den.
  • Anwen­der dafür sen­si­bi­li­sie­ren, aus­schließ­lich Pro­gram­me und Apps zu nut­zen, die Ver­schlüs­se­lung aktiv anbie­ten und nut­zen. Dabei auch das The­ma SSL-Ver­schlüs­se­lung zum siche­ren Auf­ruf von Web­sei­ten (https) nicht ver­ges­sen.

Es war nicht unse­re Absicht, dem Her­stel­ler die Absicht zu unter­stel­len, hier ein Spio­na­ge-Tool in Netz­wer­ke ein­zu­schleu­sen. Die Funk­ti­on kann jedoch miß­bräuch­lich ver­wen­det wer­den.

2 thoughts on “Fritz!Box — der Spion im eigenen Haus

  1. Ich habe hier eine 7530. Der o.g. Link ist hier nicht aktiv. Wur­de das “Fea­ture” auf eine ande­re URL ver­la­gert oder doch ganz abge­schal­tet ?

Comments are closed.