Desillusionierung bei AVMs Fritz-Produkten

vorhergehende Artikel in: Rants
13.01.2024

Ich habe mich neulich wieder einmal mit dem Thema Zertifikate im Dunstkreis von TLS beschäftigt und bin sehr traurig über die Art und Weise, in der AVM Sicherheit bei den Produkten implementiert, die nicht zur Flaggschiffreihe der Fritz-Boxen gehören....

Ich hatte gerade mein Zertifikat erneutert und dessen Gültigkeitsdauer verlängert, das es mir ermöglicht, ohne Warnmeldungen per HTTPS auf die Weboberfläche der FritzBox zuzugreifen. Dabei fiel mir auf, dass ich es bisher versäumt hatte, meinen Fritz DVBC-Repeater in gleicher Weise mit einem Zertifikat aus meiner eigenen Certificate Authority auszustatten. Ich wollte das natürlich sofort nachholen.

Ich suchte nach einer entsprechenden Möglichkeit, eine eigene digitale Identität in den Repeater zu importieren und scheiterte. Dabei fielen mir diverse Dinge auf:

1) der VBC-Repeater verfügt über eine Möglichkeit des Sendersuchlaufs. Ich war immer ein wenig unglücklich, da der Repeater eine der wichtigen Komponenten meines digitalen Videorekorders im Eigenbau darstellt, er aber nicht alle Sender kennt, die ich auf meinem Fernseher ansehen kann. Ich fand den Grund dafür bei meiner Tour durch alle Links und Menüs der Weboberfläche des Repeaters heraus: Mein TV-Anbieter weiß wieder mal nicht, wie man eine NIT baut und der Repeater bezieht seine Informationen aus ebendieser NIT. Die Weboberfläche besitzt eine verborgene Möglichkeit, diese NIT zu ignorieren. Diese aktivierte ich, ließ nochmal einen Sendersuchlauf durchlaufen und siehe da - alle Sender wurden gefunden.

2) Einspielen eigener digitaler Identitäten ist nur möglich, wenn man das Gerät rootet. AVM weiß zwar prinzipiell, wie es geht (beweisen die Fritz-Boxen), jedoch entschied man sich willentlich dagegen, dieses Feature auf allen Geräten auszurollen - warum, wird wahrscheinlich auf ewig AVMs Geheimnis bleiben.

3) Kein Nutzermanagement möglich. Auf Fritzboxen kann man mehrere Nutzerkonten anlegen und diesen Nutzern Rechte zuweisen. So kann man es erreichen, dass es un(ter)privilegierte Logins gibt, die nur die Weboberfläche starten und Informationen über entgangene Anrufe und den Onlinestatus sehen, aber keine Konfigurationsänderungen vornehmen können. Das ist sehr begrüßenswert. Und wieder: Beim Repeater ist das nicht umgesetzt: Dort existiert nur ein Nutzer und dieser hat fest zugeordnet das Superuserpasswort der Fritzbox im Mesh. Das bedeutet, dass ich - um zum Beispiel die API zu verwenden - immer das Superuser-Passwort verwenden und in Skripten hinterlegen muss. Das ist steinzeitlich und hier zeigt sich wieder einmal, dass AVM beim Thema Sicherheit mit zweierlei Maß misst - die Flaggschiffreihe der Fritzboxen bieten alle erwarteten Features, aber die anderen Produkte fahren da eine sehr fragwürdige Strategie

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Alarmierung über Skripte

    16.09.2019

    Nachdem ich mich in letzter Zeit wieder verstärkt mit den Themen Monitoring und Alarmierung auseinandersetze, habe ich überlegt, ob ich die dabei gewonnenen Erkenntnisse nicht auch dazu nutzen könnte, die bestehende Lösung flexibler zu machen

    Weiterlesen...

Neueste Artikel

  • Meine Umsetzung des Konzepts CircuitBreaker

    Das Konzept eines CircuitBreaker ist schon lange bekannt. Ich habe mir zu Studienzwecken einen selber gebaut - eigentlich zwei: Einer ist dafür da, das Logging von gleichartigen Exceptions zu drosseln, der andere für das Entzerren von Versuchen, Ressourcen von URLs nachzuladen. Diese spezielle Variante benötigte ich für EBMap4D: Falls einer der Tile-Server ausfällt, wird ansonsten ständig versucht, die Kacheln neu herunterzuladen. Das frisst nicht nur Rechenzeit, sondern ist auch unnütz.

    Weiterlesen...
  • Mein erster Origami-Kranich

    Nachdem ich mich nun schon so lange mit Origami beschäftige habe ich endlich einmal das älteste dokumentierte Ornament versucht - aus gutem Grund...

    Weiterlesen...
  • Will it go round in circles - Nashville Jam

    Eine neue Musikreihe/Show auf Youtube gefunden...

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.