Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
Diese Community verwendet Tracking-Tools Matomo zur Verbesserung des Angebots. Mit Zustimmung hilfst Du uns unsere Seite zu verbessern und akzeptieren unsere Datenschutzerklärung. Vielen Dank!   Erfahren mehr.
Zustimmen Nicht Zustimmen
Conszious

Connect Box Updates (History, change log)

Guten Morgen,

Ich habe meine Telefonkomfortfunktion gekündigt, werde also die FritzBox 6490 zurückgeben, da ich zukünftig keine Festnetznummer mehr besitze. Die Connect Box wäre von der Ausstattung absolut ausreichend, allerdings gehöre ich zu denen, die Wert auf sichere Hardware legen.

Was noch ein Grund ist, die FritzBox zurückzugeben. Seit Dezember 2015 gab es bei AVM genug Updates, welche das System von 6.50 inzwischen auf Version 6.83 gebracht hat. Bei Unitymedia bisher gar keins, immer noch 6.50. Die Hacker mag das freuen, mich nicht!

Gibt es irgendwo eine Update History der Box, einen Change Log? Einfach um zu sehen, wie interessiert Unitymedia an der Sicherheit seiner Hardware und damit auch seiner Kunden ist.

Wenn seit Februar 2016 nämlich keine oder erst ein Update gelaufen ist, werde ich lieber die 300€ für eine FritzBox investieren, anstatt mich weiter der Gefahr durch Unitymedia-Hardware aussetzen zu lassen.
Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
10 Kommentare
2017-06-25T08:58:19Z
  • Sonntag, 25.06.2017 um 10:58 Uhr
Ein Gerät wird nicht automatisch unsicher, wenn es keine Updates gibt. Denn wenn keine Sicherheitslücken bekannt sind, kann man auch keine schließen. Genauso können durch Updates wiederum neue Lücken entstehen. Die Connect Box ist gegenüber einer Fritzbox schon alleine deswegen weniger anfällig (was aber nicht automatisch bedeutet, dass sie sicherer ist), weil sie viel weniger Funktionen bietet und daher weniger möglicherweise angreifbare Dienste vorhanden sind.

Dieses Jahr gab es jedenfalls schon mindestens 1 Update: https://www.unitymediaforum.de/viewtopic.php?t=34924
2017-06-25T09:17:32Z
  • Sonntag, 25.06.2017 um 11:17 Uhr
Dragon:
Ein Gerät wird nicht automatisch unsicher, wenn es keine Updates gibt. Denn wenn keine Sicherheitslücken bekannt sind, kann man auch keine schließen. Genauso können durch Updates wiederum neue Lücken entstehen. Die Connect Box ist gegenüber einer Fritzbox schon alleine deswegen weniger anfällig (was aber nicht automatisch bedeutet, dass sie sicherer ist), weil sie viel weniger Funktionen bietet und daher weniger möglicherweise angreifbare Dienste vorhanden sind.

Ist diese Haltung dein Ernst?!
Ein Gerät, welches am Internet angeschlossen ist, ist erstmal per se dem Risiko ausgesetzt angegriffen zu werden. Sich darauf zu berufen, dass das Gerät sicher ist, weil man noch nichts von Sicherheitslücken gehört hat, ist grob fahrlässig. So als würde man die Haustür offen lassen, weil man bisher noch keinen Einbrecher in der Straße gesehen hat.

Dass durch Updates Lücken entstehen können ist klar und beweist nur, dass Programmierer nicht fehlerfrei sind. Und dann muss der Programmierer eben noch mal dran arbeiten. Du widerlegst dich also selbst.

Die Anzahl der Funktionen sagt gar nichts über die Anfälligkeit aus. Fünf gut abgesicherte Funktionen sind besser als Eine unsicher implentierte. Und auch ein Gerät mit einer einzigen Fnktion kann völlig unsicher sein, wenn der Programmierer nicht bedenkt, dass das Gerät angegriffen werden könnte und deshalb die Verbindung einfach offen lässt (wie bei den Smarthome-Geräten bspw)

Ein Update in anderthalb Jahren? Entweder kommst du jetzt mit dem Argument, die Programmierer von Unitymedia wären so perfekt, dass das Gerät keine Sicherheitslücken hat (dann sollte die Konkurrenz zugreifen, kann schließlich nicht sein, dass die gesamte Konkurrenz so Versager als Programmierer hat und deshalb dauernd Sicherheitslücken schließen muss)

Oder das beantwortet meine Frage und Unitymedia sind die Risiken einfach egal. Und ich muss mich dann mit Polizei und Abmahnungen rumschlagen, wenn mein Computer dank einer mangelhaften Firewall unter Beschuss gerät oder der Router selber als Bot missbraucht wird.

Was soll ich sagen, trotz deiner Taltung hat mir deine Antwort weitergeholfen. Die 300€ sind bei AVM gut investiert. Auch wenn ich fassungslos bin und hoffe, dass du nicht irgendwie im Bereich der IT tätig bist.

Ich kann nur den Rat geben, führe Updates durch. Für den Computer, die Software, die technischen Geräte, die du hast. Wir haben nicht mehr die 90er, wir haben 2017 und Geräte werden nicht mehr nur angegriffen, um Trojaner installieren und dich mit Werbung zu beballern, sondern auch um diese Geräte in Zombies zu verwandeln und Dritten zu schaden. Ganz abgesehen von den eigenen Risiken Daten zu verlieren oder plötzich eine Abmahnung ins Haus zu bekommen, weil jemand die Geräte übers Internet missbraucht hat.
2017-06-25T10:46:26Z
  • Sonntag, 25.06.2017 um 12:46 Uhr
Conszious:
Ein Gerät, welches am Internet angeschlossen ist, ist erstmal per se dem Risiko ausgesetzt angegriffen zu werden. Sich darauf zu berufen, dass das Gerät sicher ist, weil man noch nichts von Sicherheitslücken gehört hat, ist grob fahrlässig. So als würde man die Haustür offen lassen, weil man bisher noch keinen Einbrecher in der Straße gesehen hat.

Schade, dass du meine Aussage mutwillig falsch interpretierst. Ich habe geschrieben, dass die Anzahl oder Häufigkeit von Updates nichts über die Sicherheit aussagt. Sicherheitslücken können nun einmal nur dann geschlossen werden, wenn sie irgendjemand findet. Wie soll das sonst funktionieren?

Conszious:
Die Anzahl der Funktionen sagt gar nichts über die Anfälligkeit aus. Fünf gut abgesicherte Funktionen sind besser als Eine unsicher implentierte. Und auch ein Gerät mit einer einzigen Fnktion kann völlig unsicher sein, wenn der Programmierer nicht bedenkt, dass das Gerät angegriffen werden könnte und deshalb die Verbindung einfach offen lässt (wie bei den Smarthome-Geräten bspw)

Die Anzahl der Funktionen sagt, wie ich schon oben angemerkt habe, nichts über die Sicherheit aus, aber sehr wohl über die (statistische) Fehleranfälligkeit. Wenn doppelt so viel Code vorhanden ist, dann sind da statistisch gesehen auch doppelt so viele Fehler (NICHT Sicherheitslücken!) drin.
Deswegen gibt es für riesige Betriebssyteme wie Windows sehr viele Updates und für vergleichweise simple Embedded-Geräte in der Regel nur selten Aktualisierungen. Kritische Sicherheitslücken können natürlich trotzdem beide haben.

Conszious:
Ein Update in anderthalb Jahren?

Ein Update dieses Jahr! Anfang 2016 war noch Version 4.50.18.15-1-NOSH aktuell, jetzt ist es offenbar 4.50.18.23-3p1-NOSH. Einige Versionen dazwischen wurden auch bei Unitymedia ausgerollt. Conszious:
Ich kann nur den Rat geben, führe Updates durch.

Das mache ich regelmäßig, wenn es denn welche gibt. Aber für dich ist wohl alles unsicher, was nicht alle paar Monate ein Update bekommt? Egal, was da beim Update gemacht wird...

PS: Falls du dich ernsthaft für die Sicherheit der Connect Box interessiert, findet du hier eine ausführliche Untersuchung ungarischer Sicherheitsforscher: http://www.search-lab.hu/media/Compal_CH7465LG_Evaluation_Report_1.1.pdf
2017-06-25T11:17:42Z
  • Sonntag, 25.06.2017 um 13:17 Uhr
>> Schade, dass du meine Aussage mutwillig falsch interpretierst. Ich habe geschrieben, dass die Anzahl oder Häufigkeit von Updates nichts über die Sicherheit aussagt. Sicherheitslücken können nun einmal nur dann geschlossen werden, wenn sie irgendjemand findet. Wie soll das sonst funktionieren? <<

Du hast geschrieben, dass ein Gerät nicht automatisch unsicher wird, weil es keine Updates gibt. Der logische Umkehrschluss wäre, dass ein Gerät so lange sicher ist, bis ein Update verfügbar ist. Was Quatsch ist.

Im direkt nächsten Satz hattest du darauf hingewiesen, dass auch durch Updates Lücken entstehen können. Was im Umkehrschluss die Empfehlung ausspricht, Updates lieber sein zu lassen, damit das Gerät nicht unsicherer wird. Was du jetzt auch noch mal betont hast - für dich ist ein Gerät so lange sicher, wie du nichts von Sicherheitslücken weisst. Du gehst davon aus, dass die Geräte eben sicher sind. Was ich geschrieben habe: Wenn noch kein Einbrecher die Tür aufgebrochen hat (weil er bsiher nur beim Nachbarn war) ist das für dich ein Beweis für die Sicherheit der Tür. Logischer Fehlschluss.

>> Deswegen gibt es für riesige Betriebssyteme wie Windows sehr viele Updates und für vergleichweise simple Embedded-Geräte in der Regel nur selten Aktualisierungen. <<

Was zu beweisen wäre. Bisher zeigt sich, dass es nur selten Aktualisierungen gibt, weil die Hersteller nicht in die Pflege des Codes investieren. Siehe dazu die letzten DDoS-Angriff auf Großunternehmen, welche durchgeführt werden konnten, weil Millionen kleine Geräte übernommen und als Bot missbraucht wurden. Im Grunde könnte man sagen, dass die letzten zwei Jahre bewiesen haben, dass sich kein Programmierer darauf berufen kann, dass sein Code ja kleiner ist und er deshalb lockerer an die Sache herangehen kann.

>> Das mache ich regelmäßig, wenn es denn welche gibt. Aber für dich ist wohl alles unsicher, was nicht alle paar Monate ein Update bekommt? Egal, was da beim Update gemacht wird... <<

Tja, wenn du mich so mutwillig missverstehst und die Aussage "Kein System ist perfekt, SIcherheitsupdates sind wichtig, Programmierer denen das egal sind, sind nicht vertrauernsvoll" in "Hauptsache Update, egal was!" uminterpretierst, ist das dein Problem. Aber auf dem Niveau will ich nicht diskutieren. Du kannst ja noch mal meine Eingangsfrage lesen und wenn du den Begriff "Change log" nicht kennst, einfach mal googlen.

>> PS: Falls du dich ernsthaft für die Sicherheit der Connect Box interessiert, findet du hier eine ausführliche Untersuchung ungarischer Sicherheitsforscher: http://www.search-lab.hu/media/Compal_CH7465LG_Evaluation_Report_1.1.pdf <<

Danke schön. Mithilfe der Analyse vom Juni letzten Jahres und den Updatenamen kann ich bei Unitymedia sicher mal die Changelogs heraussuchen und sehen, wie viele der in Abschnitt 6.2, Seite 78, als "Very High" und "High" Risikoeinstufungen schon behoben korrigiert wurden.

Solltest du selber wohl lieber nicht lesen, sonst kommst du noch auf die Idee, dass ich die ganze Recht hatte. ;-)
2017-06-25T11:44:18Z
  • Gelöschter Nutzer
  • Sonntag, 25.06.2017 um 13:44 Uhr
Das mit den langsamen Updates betrifft wohl alle Provider, die eigene Updates auf ihre Geräte nicht zulassen.
Ein eigenes Gerät ist das einzige, das da wirklich hilft.
Leider ist der Markt der eigenen Kabelgeräte sehr übersichtlich, was ich gar nicht so recht verstehen kann. In vielen EU-Staaten ist die Endgerätefreiheit schon seit Jahren Usus. Was machen denn die Kunden in diesen Staaten?
2017-06-25T12:04:39Z
  • Sonntag, 25.06.2017 um 14:04 Uhr
Conszious:
Du hast geschrieben, dass ein Gerät nicht automatisch unsicher wird, weil es keine Updates gibt. Der logische Umkehrschluss wäre, dass ein Gerät so lange sicher ist, bis ein Update verfügbar ist. Was Quatsch ist. 

Richtig, ein Umkehrschluss funktioniert hier einfach nicht.

Conszious:
Was im Umkehrschluss die Empfehlung ausspricht, Updates lieber sein zu lassen, damit das Gerät nicht unsicherer wird.

Ernsthaft? Auch hier ist ein Umkehrschluss völliger Quatsch.

Conszious:
Was du jetzt auch noch mal betont hast - für dich ist ein Gerät so lange sicher, wie du nichts von Sicherheitslücken weisst. Du gehst davon aus, dass die Geräte eben sicher sind. Was ich geschrieben habe: Wenn noch kein Einbrecher die Tür aufgebrochen hat (weil er bsiher nur beim Nachbarn war) ist das für dich ein Beweis für die Sicherheit der Tür. Logischer Fehlschluss.

Es gibt keine 100%ige Sicherheit, weder bei Software noch bei Häusern. Da wir aber nun einmal Software verwenden und in Häusern leben wollen, müssen wir mögliche Sicherheitslücken in Kauf nehmen. Wichtiges Kriterium ist hier die Zeit zwischen Erkennung einer kritischen Lücke und dem Beheben.
Bei deinem Beispiel also: Wenn mir als Hausbesitzer (bei Software: der Hersteller) bekannt wird, dass das Schloss an der Hintertür kaputt ist, dann sollte ich das so schnell wie möglich beheben. Ist mir das Problem aber gar nicht bekannt (und ggf. nicht so einfach feststellbar), kann ich das Problem nicht beheben und muss davon ausgehen, dass die Tür sicher ist.

Um wieder zur Software zurückzukommen: Wenn in meinem Programm nur alle 5 Jahre eine Sicherheitslücke gefunden wird und ich jeweils innerhalb eines Tages ein Update herausbringe, ist das viel besser als jeden Monat eine Aktualisierung zu veröffentlichen, Sicherheitslücken aber erst nach mehreren Monaten zu beheben. Daher: Die Häufigkeit oder Anzahl von Updates sagt gar nichts aus.
2017-06-25T12:17:40Z
  • Sonntag, 25.06.2017 um 14:17 Uhr
Was ein Glück, das UM keine Change Logs über seine Geräte veröffentlicht. Oh Mann, manchmal kann man sich nur noch an den Kopf fassen.
Vor allem, wenn ich an die zahlreichen DS lite-Kunden mit eigener Fritzbox und Firmware 6.83 denke, dessen Fehler AVM seit Monaten bekannt ist. Aber dadurch, das dort ja kein Internetzugriff mehr möglich ist, ist das ja völlig egal, oder wie? Selbst AVM sagt, das dort nur eine andere Fritzbox mit der 6.63 das Problem behebt, da ein Rollback nicht möglich ist!
2018-03-10T23:30:58Z
  • Sonntag, 11.03.2018 um 00:30 Uhr
OMG Immer diese Diskussionsforen.
Natürlich kann man sagen das die Connect Box aufgrund der kaum vorhanden Funktionen weniger Angriffsflächen bietet.
Aber die neue Generation will ja auch ein wenig mit der Technik spielen und nicht nur die Standard default Settings benutzen damit man sich vll. ein wenig mehr Admin fühlt auf eigenes Risiko?!
AVM macht ja eigentlich alles richtig - Fehler passieren halt und sollten dann schnell behoben werden - das vorhandene verbessern optimieren und neue Ideen implementieren halte ich für sinnvolle Weiterentwicklung (Router sind deren Business)
Unity will keine Kunden verärgern und den Großteil der Kunden DAUs auch garnicht soviel Möglichkeiten implementieren um hinterher den Kunden Support noch mehr zu überlasten.
Die bekommen Ihr Geld egal welcher Router den Job übernimmt solange alles funktioniert und nichts passiert was öffentlich wird dann ist der Vertrag vom Unity erfüllt
Aber ich finde es übelst Nett das Ihr nicht ganz ausgerastet seit da oben.
Naja peace und so. Achja 2 Sachen sollten aber sein: Easy Boy Startseite kein HTTPS was ist wenn meine Freundin es mal wieder mit ner spoofing Attacke probiert. Und das Router Passwort steht im Klartext da? Hab mich bei der letzten Party gewundert als ich mich im Wohnzimmer eingeloggt habe, nur um zu schauen wie gut die stille Post des W-LAN Zugangscodes funktioniert.
Aber teile ja gerne meine Passwörter ..
2018-03-11T00:17:00Z
  • Sonntag, 11.03.2018 um 01:17 Uhr
Für was braucht man das Routerpasswort, wenn man WLAN Zugangscodes verteilen will?
2018-03-17T01:15:12Z
  • Samstag, 17.03.2018 um 02:15 Uhr
Um auf den Router zu schauen wer bereits alles mit dem W-LAN verbunden ist obwohl man es nur "ausgewählten" Personen mitgeteilt hat. War aber auch Spaß der rest .. aber trotzdem finde ich das man die Weboberfläche zum Router verschlüsseln kann und das Passwort nicht im Klartext anzeigen muss im Passwortfeld :-P