Problem mit falschen Zertifikaten bei Fritz-Boxen in Kabelnetzen
Der aus dem Speicher der Fritz Box an die Öffentlichkeit gelangte, eigentlich geheime Schlüssel, wurde neuen Erkenntnissen zufolge bereits vor einiger Zeit missbraucht. Das wurde jetzt bekannt. Dennoch wird der Schlüssel von vielen Kabelnetzbetreibern noch akzeptiert.
Vor einer Woche wurde bekannt, dass der für die Zertifikatserstellung erforderliche, eigentlich geheime Schlüssel, im Speicher der Fritz Box abgelegt wurde und an die Öffentlichkeit gelangt ist. Damals erklärte AVM gegenüber heise Security, dass bislang keinerlei Missbrauchsfälle bekannt sind.
Jetzt hat jedoch Vodafone gegenüber dem Portal erklärt, dass es bereits im Frühsommer einen Versuch gegeben habe, ungültige AVM-Zertifikate für Angriffe auszunutzen. Vodafone habe daraufhin auf ein neues Zertifikat umgestellt und gefälschte Zertifikat blockiert. Telecolumbus und Primacom haben heise Security zufolge ebenfalls Maßnahmen ergriffen. Die beiden Anbieter müssen also auch informiert gewesen sein.
Netcologne, Unitymedia und wilhelm.tel. akzeptieren nach Recherchen des Portals nach wie vor Anmeldungen mit dem kompromittierten Hersteller-Schlüssel. Bei Unitymedia soll der Wechsel erst Ende November abgeschlossen sein, bei Wilhelm.teil Anfang Dezember. Netcologne setzt drei Fritz-Box-Modelle ein: 6320, 6360 und 6490. Für die beiden letzteren ist die Umstellung bereits abgeschlossen, für die Fritz Box 6320 Cable warte der Provider noch auf das Update von AVM. Wann damit zu rechnen ist, sei derzeit noch nicht bekannt.