Desillusionierung bei AVMs Fritz-Produkten

vorhergehende Artikel in: Rants
13.01.2024

Ich habe mich neulich wieder einmal mit dem Thema Zertifikate im Dunstkreis von TLS beschäftigt und bin sehr traurig über die Art und Weise, in der AVM Sicherheit bei den Produkten implementiert, die nicht zur Flaggschiffreihe der Fritz-Boxen gehören....

Ich hatte gerade mein Zertifikat erneutert und dessen Gültigkeitsdauer verlängert, das es mir ermöglicht, ohne Warnmeldungen per HTTPS auf die Weboberfläche der FritzBox zuzugreifen. Dabei fiel mir auf, dass ich es bisher versäumt hatte, meinen Fritz DVBC-Repeater in gleicher Weise mit einem Zertifikat aus meiner eigenen Certificate Authority auszustatten. Ich wollte das natürlich sofort nachholen.

Ich suchte nach einer entsprechenden Möglichkeit, eine eigene digitale Identität in den Repeater zu importieren und scheiterte. Dabei fielen mir diverse Dinge auf:

1) der VBC-Repeater verfügt über eine Möglichkeit des Sendersuchlaufs. Ich war immer ein wenig unglücklich, da der Repeater eine der wichtigen Komponenten meines digitalen Videorekorders im Eigenbau darstellt, er aber nicht alle Sender kennt, die ich auf meinem Fernseher ansehen kann. Ich fand den Grund dafür bei meiner Tour durch alle Links und Menüs der Weboberfläche des Repeaters heraus: Mein TV-Anbieter weiß wieder mal nicht, wie man eine NIT baut und der Repeater bezieht seine Informationen aus ebendieser NIT. Die Weboberfläche besitzt eine verborgene Möglichkeit, diese NIT zu ignorieren. Diese aktivierte ich, ließ nochmal einen Sendersuchlauf durchlaufen und siehe da - alle Sender wurden gefunden.

2) Einspielen eigener digitaler Identitäten ist nur möglich, wenn man das Gerät rootet. AVM weiß zwar prinzipiell, wie es geht (beweisen die Fritz-Boxen), jedoch entschied man sich willentlich dagegen, dieses Feature auf allen Geräten auszurollen - warum, wird wahrscheinlich auf ewig AVMs Geheimnis bleiben.

3) Kein Nutzermanagement möglich. Auf Fritzboxen kann man mehrere Nutzerkonten anlegen und diesen Nutzern Rechte zuweisen. So kann man es erreichen, dass es un(ter)privilegierte Logins gibt, die nur die Weboberfläche starten und Informationen über entgangene Anrufe und den Onlinestatus sehen, aber keine Konfigurationsänderungen vornehmen können. Das ist sehr begrüßenswert. Und wieder: Beim Repeater ist das nicht umgesetzt: Dort existiert nur ein Nutzer und dieser hat fest zugeordnet das Superuserpasswort der Fritzbox im Mesh. Das bedeutet, dass ich - um zum Beispiel die API zu verwenden - immer das Superuser-Passwort verwenden und in Skripten hinterlegen muss. Das ist steinzeitlich und hier zeigt sich wieder einmal, dass AVM beim Thema Sicherheit mit zweierlei Maß misst - die Flaggschiffreihe der Fritzboxen bieten alle erwarteten Features, aber die anderen Produkte fahren da eine sehr fragwürdige Strategie

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Ticketsysteme sind lebende Wesen

    29.03.2020

    Hier zunächst wieder eine Triggerwarnung: Dieser Artikel wird meine Meinung abbilden. es kann sein, dass sie dem einen oder anderen nicht gefällt - das ist mir aber egal. Und wenn hier irgendwelche Schneeflocken mitlesen, dann sind die selber schuld.

    Weiterlesen...

Neueste Artikel

  • Weitere Experimente mit dem Clifford-Attractor

    Ich berichtete hier bereits über Experimente mit dem Clifford-Attractor, allerdings war ich noch Experimente unter geringfügig geänderten Parametern schuldig...

    Weiterlesen
  • Neues Feature in meinem Static Site Generator: externe URLs

    Es wurde wieder einmal Zeit für ein neues Feature in meinem Static Site Generator mittels dessen ich ja auch meine Heimatseite im Zwischennetz gestalte und verwalte...

    Weiterlesen
  • Eine Bestandsaufnahme

    Es kamen mehrere Faktoren zusammen: die Tatsache, dass ich nicht mehr ganz so kürzlich die 50 überschritten habe hatte ebenso darauf Einfluss wie das heutige trübe Wetter und auch der Fakt, dass ich bereits beinahe alle Wochenendpflichten erledigt habe. Der letzte Stein des Anstoßes war dann aber, dass sich heute zum 125. Mal der Geburtstag von Erich Fromm jährt.

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.