Heise.de hat es aufgedeckt. Das Sicherheitsleck, das AVM als Problem beim Fernzugriff auf die FritzBox! beschrieb liegt ganz woanders.

Die Experten bei Heise.de haben ein Programm geschrieben, dass den tatsächlichen Angriff auf die FritzBox! simuliert. Das Problem kommt nicht von außen und dringt in die FritzBox! ein, sondern der User selber verursacht unbewußt das Problem. Wie?

Die Experten von Heise.de haben eine Proof-of-Concept-Webseite erstellt, die dafür sorgt, dass wenn ein User aus dem Netz der FritzBox! mit seinem Browser diese Seite aufruft, die Konfigurationsdatei der FritzBox! mitsamt dem Admin Passwort und weiteren sensiblen Daten auf einen externen Server abgelegt wird. Damit sind die Internetdiebe in der Lage, von außen mit Hilfe der Informationen aus dieser Konfigurationsdatei, auf die FritzBox! zugreifen zu können.

Das erklärt auch die erste Vermutung von AVM, dass bei den 16 Millionen gestohlenen Mailadressen und Passwörtern auch Zugänge zu Geräten der FritzBox! dabeigewesen wären.

Es ist also unbedingt notwendig, dass alle Besitzer einer FritzBox! mit Telefonie-Modul ein Update einspielen. Solange ihr das noch nicht getan habt, sperrt auf jeden Fall den Fernzugriff, denn das bleibt trotzdem der einzige Weg, um von draußen auf die FritzBox! zugreifen zu können.

Wie ihr das bei Euren FritzBox! Geräten machen müsst, beschreibt Heise.de auch sehr ausführlich.

Besitzer einer FritzBox!, die vom Provider (z.B. Kabeldeutschland) zur Verfügung gestellt wird, sind darauf angewiesen, das der Provider das Update vollzieht. Das kann mitunter eine Weile dauern, da diese Updates großflächig angelegt sind und vorher das Roll-out getestet und geplant werden muss. Hier hilft einfach nur den Fernzugriff zu sperren. Sobald das Update aufgespielt ist, kann der Fernzugriff wieder eingeschaltet werden. Bitte auch unbedingt darauf achten, dass ihr Eure Passwörter auf jeden Fall ändert. Auch wenn das Update eingespielt wurde, besitzen “anderen Menschen” Eure Passwörter.

Wer ein Passwort gewählt hat, dass er auch für andere Dienste verwendet (eBay, PayPal, Facebook, Twitter, Mail Programm), sollte diese Passwörter ebenfalls schnell ändern.