Hallo,

ich eben zum ersten Mal auf die AVM-Speedseite "http://avm.de/service/zack-der-speedtest-fuer-ihre-breitbandverbindung" gestoßen und wunderte mich, wie die Speedtest-Seite die Sync-Werte, das Modell, die Firmware usw. meiner Fritzbox 7490 auslesen konnte, ganz ohne Plugins wie z.B. Java mit lokalen Zugriffsrechten.

Über die Web-Konsole in Firefox konnte ich sehen, dass die AVM-Speedtestseite die URLs "http://fritz.box/jason_boxinfo.xml" und "http://fritz.box:49000/igddesc.xml" abfragte. Ich war besonders schockiert, dass dort unter anderem die eindeutige Seriennummer MAC-Adresse ausgegeben wird. Man kann die Seiten ohne Kennwortabfrage aufrufen. --- EDIT: Der AVM-Speedtest zeigt die MAC-Adresse nicht an, aber diese wird unter den erwähnten URLs mit angeboten und wäre somit auslesbar.

Das ist doch ein gewaltiges Datenschutzproblem, denn wenn die AVM-Speedtestseite die Informationen ohne Kennwortabfrage oder ähnliches auslesen kann, dann könnten das ja auch Tracking-Firmen. Und da hilft dann vermutlich auch kein NoScript und ähnliches (da bin ich mir nicht sicher).
Ich hatte übrigens auch keine Fernwartung oder ähnliches in der Fritzbox aktiviert.

Ist das Thema schon so bekannt? Ich hatte mal gegoogelt und es wird auch hier und da mal erwähnt, aber eher als Funktion, wenn man mal die S/N MAC-Adresse benötigt. Nicht aber als Möglichkeit, dass eine x-beliebige Internetseite die Informationen auch abfragen kann.

Oder ist das Ganze doch ein alter Hut und ich lebte bisher hinter dem Mond? ;(

Die beiden URLs sind lokal, von extern kannst da normal nichts auslesen.
Habe den Speedtest gerade übers iPad gemacht und es findet keine Seriennummer, vielleicht weil ich über einen WLAN AP surfe, der wiederum an der Fritzbox hängt (sie vergibt auch IPs).
Aber trotzdem wäre die Fritzbox mit der fritz.box lokal bei mir erreichbar. Also muss das schon ein Skripr oder so sein, dass er lokal ausführt und auf dem iPad nicht funktioniert.
Von daher mein Eindruck: Extern wird nichts ausgelesen.

Über die Web-Konsole in Firefox konnte ich sehen, dass die AVM-Speedtestseite die URLs "http://fritz.box/jason_boxinfo.xml" und "http://fritz.box:49000/igddesc.xml" abfragte. Ich war besonders schockiert, dass dort unter anderem die eindeutige Seriennummer ausgegeben wird. Man kann die Seiten ohne Kennwortabfrage aufrufen.


Das ist ja echt der Hammer. Danke für die Info!

Ich werde jetzt erst mal allen Clients NoScript spendieren. Nicht, um Skripte allgemein zu blockieren, aber um Skripten das Schnüffeln im LAN zu verbieten (ABE).

Edit: Ah, falscher Alarm :freak: Die Fritzbox sendet einen "Access-Control-Allow-Origin" Header mit dem Wert "http://scope.avm.de". Es können also nur Skripte von scope.avm.de auf diese Seite zugreifen.

Ich werde jetzt erst mal allen Clients NoScript spendieren. Nicht, um Skripte allgemein zu blockieren, aber um Skripten das Schnüffeln im LAN zu verbieten (ABE).

Mindestens Chrome lässt Skripte sowieso keine privaten Adresseräume benutzen (außer localhost, afaik). IE, Firefox und vielleicht noch andere lassen es aber noch zu.

http://www.golem.de/news/google-chrome-soll-localhost-zugriffe-einschraenken-1503-112983.html

Mindestens Chrome lässt Skripte sowieso keine privaten Adresseräume benutzen (außer localhost, afaik).

Kann ich nicht bestätigen. Der AVM-Speedtest hat mit Chrome alles angezeigt.

Ich muss mich leicht korrigieren: Es kann nicht die Seriennummer ausgelesen werden, sondern die MAC-Adresse von der Fritzbox. Macht das ganze aber nicht weniger schlimm.

(ich habe den Text im Start-Post korrigiert)


Die beiden URLs sind lokal, von extern kannst da normal nichts auslesen.
Habe den Speedtest gerade übers iPad gemacht und es findet keine Seriennummer, vielleicht weil ich über einen WLAN AP surfe, der wiederum an der Fritzbox hängt (sie vergibt auch IPs).
Aber trotzdem wäre die Fritzbox mit der fritz.box lokal bei mir erreichbar. Also muss das schon ein Skripr oder so sein, dass er lokal ausführt und auf dem iPad nicht funktioniert.
Von daher mein Eindruck: Extern wird nichts ausgelesen.

Ich hatte mich vielleicht schlecht ausgedrückt: Der AVM-Speedtest zeigt keine S/N / MAC-Adresse an, aber man könnte diese über die erwähnten URLs auch auslesen. Und das etwas ausgelesen wird, dass erkennt man daran, dass der Speedtest genau das korrekte Fritzbox-Modell, die Firmware-Version und die Synchronisations-Werte anzeigen kann.

Was mich selber halt wundert, dass die Seite lokal etwas bei mir auslesen kann, mit Hilfe von Javascript. Ich bin den Code überflogen und habe unter anderem solche Code-Stellen gefunden:
var ROUTER_IP = "fritz.box";
g_ZackObj.urls[0] = "http://"+ ROUTER_IP + "/jason_boxinfo.xml";
g_ZackObj.urls[1] = "http://"+ ROUTER_IP + ":49000/igddesc.xml";
g_ZackObj.urls[2] = "http://"+ ROUTER_IP + ":49000"; // controlURL

Ich dachte, dass das mit Javascript nicht möglich sei. (ganz allgemein, nicht speziell auf die Code-Stellen bezogen)



Das ist ja echt der Hammer. Danke für die Info!

Ich werde jetzt erst mal allen Clients NoScript spendieren. Nicht, um Skripte allgemein zu blockieren, aber um Skripten das Schnüffeln im LAN zu verbieten (ABE).

Edit: Ah, falscher Alarm :freak: Die Fritzbox sendet einen "Access-Control-Allow-Origin" Header mit dem Wert "http://scope.avm.de". Es können also nur Skripte von scope.avm.de auf diese Seite zugreifen.

Dein Edit verstehe ich nicht. Ich bin kein Webentwickler und habe davon keine Ahnung



Mindestens Chrome lässt Skripte sowieso keine privaten Adresseräume benutzen (außer localhost, afaik). IE, Firefox und vielleicht noch andere lassen es aber noch zu.

http://www.golem.de/news/google-chrome-soll-localhost-zugriffe-einschraenken-1503-112983.html

Chrome kann die oben erwähnten Werte auch ohne Probleme auslesen. Das wird Chrome vermutlich auch zukünftig nicht verhindern können, weil ja fritz.box abgefragt wird und nicht eine 192er-IP-Adresse. Und Fritzboxen sind nur in den D-A-CH-Ländern verbreitet. Da wird Google vermutlich wegen so einem "kleinen" Router-Hersteller nicht gesonderte JS-Sperren für "fritz.box" einbauen.

IP- und MAC-Adresse ist normal. Aber wie sie an die Firmware-Version kommen wäre mal interessant zu erfahren.

Wieso ist die MAC-Adresse normal? Internetseiten/-Server können die MAC-Adresse von Internet-Usern nicht wissen, wie denn auch? Sonst wären ja alle Tracking-Schutz-Mechanismen für die Katz.

Kann ich nicht bestätigen. Der AVM-Speedtest hat mit Chrome alles angezeigt.

Kann natürlich sein, dass sie es doch noch nicht umgesetzt haben. Habe es nicht getestet.

Chrome kann die oben erwähnten Werte auch ohne Probleme auslesen. Das wird Chrome vermutlich auch zukünftig nicht verhindern können, weil ja fritz.box abgefragt wird und nicht eine 192er-IP-Adresse. Und Fritzboxen sind nur in den D-A-CH-Ländern verbreitet. Da wird Google vermutlich wegen so einem "kleinen" Router-Hersteller nicht gesonderte JS-Sperren für "fritz.box" einbauen.

fritz.box wird per DNS von der Fritzbox auch nur auf eine IP-Adresse aufgelöst. Die Browser fragen dabei den Stubresolver des Betriebssystems an (für z.B. fritz.box) und der übergibt nur IP-Adressen. Für private Netzwerke sind die verfügbaren Adressen klar definiert und die kann man natürlich blocken: https://en.wikipedia.org/wiki/Private_network

Wenn ich auf meinen eigenen rekursiven Resolver (Unbound) umstelle, kann der Test von AVM auch nicht mehr die Firmware auslesen. Gerade ausprobiert. Unbound beantwortet allerdings auch generell keine Anfragen, die als Antwort Adressen aus privaten Netzwerken enthalten. Würde allerdings natürlich JS-Skripte nicht daran hindern, direkt IP-Adressen anzufragen (glaube ich). Die meisten Fritzboxen haben ja bei IPv4 192.168.178.1 voreingestellt. Bei IPv6 wird dagegen ein zufälliges Subnetz aus fd00::/8 mit /64er Prefix generiert. So direkt würde das dann also nur noch IPv4 betreffen.

Ich bin mir da aber mit der Same-Origin-Policy auch nicht sicher, ob man mit Webanwendungen einfach willkürlich feste IP-Adressen anfragen kann. Wahrscheinlich wissen da andere Leute mehr.

IP- und MAC-Adresse ist normal. Aber wie sie an die Firmware-Version kommen wäre mal interessant zu erfahren.

Eigentlich ist das überhaupt nicht normal. Weder mit IPv4 noch IPv6 mit Privacy Extensions werden Informationen über die MAC-Adresse übertragen.

Dein Edit verstehe ich nicht. Ich bin kein Webentwickler und habe davon keine Ahnung

Standardmäßig können Skripte nur auf Daten ihrer eigenen Domain zugreifen. Ein Skript, das der Browser von foo.com lädt, kann also beispielsweise nicht auf bar.com zugreifen. Es sei denn, bar.com sendet einen Access-Control-Allow-Origin-Header mit dem Wert "foo.com". Das ganze nennt sich Same-Origin-Policy (https://de.wikipedia.org/wiki/Same_origin_policy)

AVM hat also im Vorfeld die Firmware der Fritzbox so ausgelegt, dass ihr Skript von scope.avm.de über den Browser im LAN auf bestimmte Daten der Fritzbox zugreifen kann. Datenschutztechnisch problematisch ist das nur, falls irgendwas auf scope.avm.de mal von Sicherheitslücken betroffen sein sollte.

hmm, also ist das ganze Thema doch nicht so schlimm wie ich dachte?

Danke für die Erklärung. Dann kann man den Thread ja wieder schließen.

Das ist mir jetzt sogar etwas peinlich. Dumm, wenn man sich aus Unwissenheit über etwas beschwert :(

Macht doch nichts :wink:

Eigentlich ist es immer noch ein kleiner (winziger) Skandal, dass AVM die Seriennummer MAC ungefragt abgreift (bzw. abgreifen könnte).

@lumines

Dachte mit IPv6 sei das normal.
Gelesen hatte ich das damals hier:
http://blog.superuser.com/2011/02/11/did-you-know-that-ipv6-may-include-your-mac-address-heres-how-to-stop-it/

Dachte mit IPv6 sei das normal.
Gelesen hatte ich das damals hier:
http://blog.superuser.com/2011/02/11/did-you-know-that-ipv6-may-include-your-mac-address-heres-how-to-stop-it/

Alle modernen Betriebssysteme haben die Privacy Extensions standardmäßig aktiv, deshalb ist das eigentlich kein Problem. Nach außen hin werden immer nur temporäre Adressen benutzt und nie die, welche die MAC-Adresse enthält. Ist sogar eher ein Gewinn für die Privatsphäre, weil man quasi beliebig viele temporäre Adressen zur Verfügung hat, aus denen man wählen kann.