AVM sabotiert absichtlich SIP-Verbindungen

Klarer Fall von zufrüh gefreut: AVM hält es zwar nicht für nötig, den Nutzer wirksam und sichtbar darüber zu informieren, deaktiviert nichtsdestotrotz willkürlich SIP-Zugänge beim Firmwareupgrade!

Aber ja, gerade freute ich mich noch:

SIP-Telefone scheine ich nicht verloren zu haben, obwohl ich mir eher sicher bin, bestenfalls 6stellige Passwörter vergeben zu haben … aber ich will mich dann auch nicht be­schwer­en ;)

Screenshot

Un­glaub­lich und ver­ant­wor­tungs­los: heim­lich, still und lei­se wer­den SIP-Zu­gän­ge de­ak­ti­viert!

Doch das Update auf Fritz!OS 6.83 hat sehr wohl, ohne jegliche Warnmeldung in der Web-UI – obwohl da sonst jeder Furz gemeldet wird –, alle SIP-»Geräte« deaktiviert (und ein nirgends beschriebenes, popeliges blasses Warnschild angeknipst), deren Username-Password-Kombination nicht mehr AVMs neuen »Richtlinien« entsprechen. Und damit zu Hause das Fax und in der Praxis meiner Frau eine Rufnummer abgeklemmt.

Foto

„Soll das so? War vorher nie rot?!“

Aufgefallen ist es meiner Frau in der Praxis gegen Mittag — denn diese 7490 hat natürlich bemerkt, daß die aktualisierte 7490 zuhause sie nicht mehr rein läßt. (Klar, über ein Fritz2Fritz-VPN.)

Natürlich ist ein Username von 62x – wie von AVM jahrelang erzwungen und somit den Nutzern als best-practice vorgelebt – wenig schwer zu erraten. Und die wohl gar nicht so seltene Angewohnheit, dem SIP-Gerät 621 im LAN das Password 126621 zu geben — klar, sicher ist anders.

Dennoch, ›gut gemeint aber beschissen gemacht‹ ist die mildeste mögliche Bewertung aus meiner Sicht.

Es ist ja nicht so, daß den Verantwortlichen von AVM die Tragweite ihres Tuns nicht klar gewesen wäre. Irgendwo im info.txt-Fließtext steht dann ja auch:

FRITZ!OS 6.80 sorgt außerdem dafür, dass zum Einrichten eines IP-Telefons oder einer IP-Türsprechanlage über die FRITZ!Box ein mindestens 8-stelliges Passwort vergeben werden muss. Zahlreiche weitere Aktualisierungen bringen die FRITZ!Box mit FRITZ!OS 6.80 auf den aktuellen Stand der Sicherheitstechnik. Für optimalen Schutz und beste Netzabstimmung empfiehlt AVM wie bei jedem größeren Update die jeweils neueste Version von FRITZ!OS zu verwenden.

Eher zufällig stolpert man etwas weiter oben in der Aufzählung der Features auf dieses:

Sicherheit:
NEU – Das Kennwort für die Anmeldung eines IP-Telefons an der FRITZ!Box muss mindestens achtstellig sein. IP-Telefone mit kürzerem Kennwort werden beim Update deaktiviert.

Allein: diese Info müßte Otto Normaluser erst einmal suchen — die Voreinstellung ab Werk ist AFAIK eine automatische Installation einer verfügbaren neuen Firmware. Und mithin ohne Vorabinformation oder gar Einwilligung in solche grundlegenden, destruktiven Veränderungen.

Screenshot

AVM hat wirk­lich die be­ruf­lich ge­nutz­te Num­mer sa­botiert. Aber nur der SIP-Client mel­det es, in­di­rekt; Stil­le auf der 7490 mit 6.83!

Ganz nüchtern betrachtet, erfüllt das Firmwareupdate ab Fritz!OS 6.80 somit den § 303b, Computersabotage, meine ich:

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er […]

3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

(3) Der Versuch ist strafbar.
[…]

Irgendwie schade, denn verglichen mit so ziemlich allen anderen Herstellern, von denen ich die zweifelhafte Ehre hatte, Consumer-Grade-Geräte nutzen zu dürfen, verkörpert AVM mit der Fritz!Box und Fritz!OS eigentlich das, was »Made in Germany« bedeuten sollte: Ingenieurskunst und gute, langlebige und vielseitige Produkte. (Was der Grund ist, weshalb ich auch in dieser Woche wieder mehrfach »kauf’ Dir ‘ne 7490, das sind hervorragend angelegte 200 EUR für Deinen Anwendungsfall« riet.)

Aber für mich ist das Maß voll: ich möchte gerne diesen Vorfall (Fritz!OS 6.80/6.83) zum Anlaß nehmen und durch die Instanzen hindurch klären lassen, ob ein Hersteller jedwede Änderungen vornehmen kann, auch wenn diese bewußt dazu führen werden, daß bestehende Setups – hier: Telefonleitungen – nicht mehr funktionieren werden. AVM wäre das Objekt, an dem das Exempel zu statuieren sein würde; Microsoft hätte ich da auf der Liste, Sony bei der PS3, gerne auch Samsung (die verschlechternden Note-7-Updates, um die Nutzer zur Rückgabe zu nötigen, sind auch ein Auswuchs dieses Themas) …
Einerseits muß es eine weitgehende Verpflichtung von Herstellern geben, ›unverzüglich‹ sicherheitsrelevante Patches zu liefern, andererseits muß den Herstellern jedweder destruktive Eingriff untersagt, und Zuwiderhandlung schmerzhaft gemacht, werden.

Und, wie wir alle spätestens seit dem unsäglichen LSR wissen, ist die Politik schneller, wenn sie von Lobbyisten zum Jagen getragen wird: ein schickes Urteil könnte das bewirken.

Das Thema »destruktive Updates« ist auch nicht neu, ich hatte es schon im Oktober 2016 thematisiert …

… und dennoch ging AVM einen Schritt weiter und sabotiert ab Fritz!OS 6.80 per Firmwareupgrade – welches wie gesagt auch automatisch eingespielt werden könnte – bestehende SIP-Verbindungen, selbst wenn sie über VPN geführt werden.

Die gewählte Lösung der Sabotage bestehender Setups ist keineswegs alternativlos. AVM hätte eine Handvoll Updates lang z. B. bei betroffenen Accounts nur das olle Warndreick einblenden können, und bei jedem Versuch, einen solchen Zugang zu konfigurieren, die Einhaltung der neuen Limits erzwingen. Parallel dazu gibt es die rote »Info«-LED sowie prominente Positionen im Web-UI — es gibt mithin keinen Grund, bestehende Installationen gezielt kaputtzukonfigurieren.

Screenshot

Account (über­nom­me­ne Ac­counts hat­ten zwangs­läuf­ig die 62x!) und Pass­wort müs­sen jetzt epische Län­ge ha­ben.

Auch hat AVM einem keine Chance gelassen, die »Probleme« im Vorfeld anzugehen: mit 6.80 wurden SIP-Registrar-Einträge (»LAN/WAN«-Anschlüsse) mit »zu kurzen« Passwörtern, mit 6.83 zusätzlich mit »zu kurzen« Benutzernamen, zwangsweise – und heimlich spur- und kommentarlos – deaktiviert.

Kurzum: ich würde mich gerne mal mit einem umfassend bewanderten IT-Fachanwalt über die Machbarkeit einer Klage austauschen; der­zeit er­scheint mir das Vorgehen (nicht nur) von AVM als vom Wilden Westen inspiriert und die Zeit reif für ein deutliches »bis dorthin aber nicht weiter«. Any takers?