Desillusionierung bei AVMs Fritz-Produkten

vorhergehende Artikel in: Rants
13.01.2024

Ich habe mich neulich wieder einmal mit dem Thema Zertifikate im Dunstkreis von TLS beschäftigt und bin sehr traurig über die Art und Weise, in der AVM Sicherheit bei den Produkten implementiert, die nicht zur Flaggschiffreihe der Fritz-Boxen gehören....

Ich hatte gerade mein Zertifikat erneutert und dessen Gültigkeitsdauer verlängert, das es mir ermöglicht, ohne Warnmeldungen per HTTPS auf die Weboberfläche der FritzBox zuzugreifen. Dabei fiel mir auf, dass ich es bisher versäumt hatte, meinen Fritz DVBC-Repeater in gleicher Weise mit einem Zertifikat aus meiner eigenen Certificate Authority auszustatten. Ich wollte das natürlich sofort nachholen.

Ich suchte nach einer entsprechenden Möglichkeit, eine eigene digitale Identität in den Repeater zu importieren und scheiterte. Dabei fielen mir diverse Dinge auf:

1) der VBC-Repeater verfügt über eine Möglichkeit des Sendersuchlaufs. Ich war immer ein wenig unglücklich, da der Repeater eine der wichtigen Komponenten meines digitalen Videorekorders im Eigenbau darstellt, er aber nicht alle Sender kennt, die ich auf meinem Fernseher ansehen kann. Ich fand den Grund dafür bei meiner Tour durch alle Links und Menüs der Weboberfläche des Repeaters heraus: Mein TV-Anbieter weiß wieder mal nicht, wie man eine NIT baut und der Repeater bezieht seine Informationen aus ebendieser NIT. Die Weboberfläche besitzt eine verborgene Möglichkeit, diese NIT zu ignorieren. Diese aktivierte ich, ließ nochmal einen Sendersuchlauf durchlaufen und siehe da - alle Sender wurden gefunden.

2) Einspielen eigener digitaler Identitäten ist nur möglich, wenn man das Gerät rootet. AVM weiß zwar prinzipiell, wie es geht (beweisen die Fritz-Boxen), jedoch entschied man sich willentlich dagegen, dieses Feature auf allen Geräten auszurollen - warum, wird wahrscheinlich auf ewig AVMs Geheimnis bleiben.

3) Kein Nutzermanagement möglich. Auf Fritzboxen kann man mehrere Nutzerkonten anlegen und diesen Nutzern Rechte zuweisen. So kann man es erreichen, dass es un(ter)privilegierte Logins gibt, die nur die Weboberfläche starten und Informationen über entgangene Anrufe und den Onlinestatus sehen, aber keine Konfigurationsänderungen vornehmen können. Das ist sehr begrüßenswert. Und wieder: Beim Repeater ist das nicht umgesetzt: Dort existiert nur ein Nutzer und dieser hat fest zugeordnet das Superuserpasswort der Fritzbox im Mesh. Das bedeutet, dass ich - um zum Beispiel die API zu verwenden - immer das Superuser-Passwort verwenden und in Skripten hinterlegen muss. Das ist steinzeitlich und hier zeigt sich wieder einmal, dass AVM beim Thema Sicherheit mit zweierlei Maß misst - die Flaggschiffreihe der Fritzboxen bieten alle erwarteten Features, aber die anderen Produkte fahren da eine sehr fragwürdige Strategie

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Mandelbrot-Sets mittels Shadern berechnen

    17.05.2019

    Nachdem ich in den letzten verregneten Tagen auf Youtube in den Videos von Numberphile versunken bin, hat mich eines davon angestachelt, mich selbst mit dem Mandelbrotset zu beschäftigen. Als ich dann noch Code fand, der behauptete, das auf einer Graphikkarte mittels Shadern berechnen zu können, war es um mich geschehen...

    Weiterlesen...

Neueste Artikel

  • Erste Vor-Version eines Gis-Plugin für die sQLshell

    Wie bereits in einem früheren Artikel erwähnt plane ich, demnächst ein Plugin für die sQLshell anzubieten, das eine Visualisierung von Daten mit räumlichem Bezug im Stil eines Geoinformationssystems erlaubt.

    Weiterlesen...
  • bad-certificates Version 2.1.0

    Das bereits vorgestellte Projekt zur automatisierten Erzeugung von Zertifikaten mit allen möglichen Fehlern hat eine Erweiterung erfahren und verfügt über ein Partnerprojekt - beide sind nunmehr in der Version 2.1.0 freigegeben

    Weiterlesen...
  • SQLite als Geodatenbank

    Wie bereits in einem früheren Artikel beschrieben treibe ich derzeit Anstrengungen voran, die sQLshell attraktiver für Nutzer zu machen, die mit Geodatenbanken arbeiten.

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.