Onderscheppen van wachtwoorden kan ook zonder remote access. XS4ALL bevestigt het gat, al lijkt de aanval 'theoretisch'.


De kwetsbaarheid in Fritzbox-modems is ernstiger dan fabrikant AVM eerder heeft toegegeven en alle gebruikers moeten de laatste firmware installeren. Om beheerderswachtwoorden van de modem te kunnen onderscheppen is het niet nodig dat deze de remote accessfunctie aan heeft staan.


Dat blijkt uit het uitpluizen door reverse engineering van de firmware update die het concern heeft uitgebracht. Om beheerderswachtwoorden van het modem te kunnen onderscheppen is het niet nodig dat de modem de remote accessfunctie aan heeft staan.

Kwaadaardige site onderschept wachtwoorden

Remote access leek eerder de enige aanvalsvector, maar Heise achterhaalde dat exfiltratie van deze inlog ook met een speciaal geprepareerde website kan. Als een pc in het LAN-netwerk van de modem deze site bezoekt, kan op afstand de inlog worden bemachtigd.

XS4ALL, die veel Fritzbox-modems uitlevert heeft naar aanleiding van de ontwikkelingen ook het advies aangescherpt. Op de vraag "Ook updaten als ik remote access niet gebruik?" luidde vorige week het antwoord: "Voor klanten die remote access nooit hebben gebruikt is het updaten van de firmware niet urgent. Het kan geen kwaad, maar het is niet noodzakelijk de update nu meteen uit te voeren."

Dat is inmiddels veranderd in: "Ook voor klanten die remote access niet gebruiken is het belangrijk dat ze de update installeren. De nieuwe firmware verbetert ook voor hen de veiligheid."

XS4ALL: iedereen moet updaten, maar niet tegelijk

Die wijziging is echter niet gecommuniceerd en ook niet vermeld bij de blogpost zelf. De provider belooft later vandaag meer informatie te verschaffen. "We willen voorkomen dat er paniek uitbreekt en iedereen tegelijkertijd gaat updaten. We hebben liever dat dit in batches gebeurt."

Het is volgens XS4ALL ook nog onduidelijk hoe praktisch de aanval is. Op basis van informatie van AVM gaat de provider er vooralsnog vanuit dat het 'zeer theoretisch' is, een 'laboratoriumaanval'.

VoIP-rekening van duizenden euro's

Eerder bleek wel dat via remote access hackers eigen VoIP-accounts aan Fritzbox-modems hadden toegevoegd, waarmee naar dure buitenlandse nummers werd gebeld. Honderden, veelal Duitse klanten met een Fritzbox en VoIP zijn hierdoor gedupeerd, soms voor duizenden euro's. XS4ALL heeft al aangegeven dit misbruik bij eigen klanten niet in rekening te brengen.