Raketenwilli: (Problem wohl schon behoben) Warnung: Domain fritz.box ist in unbekannten Händen

https://www.heise.de/news/Verwirrend-Internet-Domain-fritz-box-zeigt-NFT-Galerie-statt-Router-Verwaltung-9610149.html

Besitzer einer Fritzbox sollten höllisch aufpassen, denn die Sache birgt zwei Gefahren:

  • Wenn man unterwegs ist und den Link oder Favorit auf https://fritz.box benutzt: Vortäuschen des Logins in die Fritzbox, Abgreifen von Benutzername und Passwort.
  • in der Fritzbox manuell oder per DHCP registierte Geräte (Rechner, Drucker, ...) werden als „RECHNERNAME.fritz.box“ registriert: Auch hier hätte, bei vorliegender Schädingungsabsicht, ein Angreifer „viele schöne Möglichkeiten“.

Bis eben sah die Analyse der DNS-Auflösung noch so aus:

dig fritz.box @1.1.1.1

; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> fritz.box @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7543
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; EDE: 3 (Stale Answer)
; EDE: 22 (No Reachable Authority): (time limit exceeded)
;; QUESTION SECTION:
;fritz.box.			IN	A

;; ANSWER SECTION:
fritz.box.		30	IN	CNAME	site.my.box.
site.my.box.		30	IN	A	18.215.42.147
site.my.box.		30	IN	A	34.232.152.68
site.my.box.		30	IN	A	52.20.143.163
site.my.box.		30	IN	A	3.221.134.22

Das whois lieferte:

Domain Name: FRITZ.BOX
Registry Domain ID: D426926400-CNIC
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com
Updated Date: 2024-01-22T23:06:21.0Z
Creation Date: 2024-01-22T23:06:20.0Z

Problem behoben?

Inzwischen sind beide (DNS-Namensauflösung und Whois-Daten wieder sauber. DNS-Server in Internet lösen den Name nicht mehr auf, der Whoi)s-Eintrag wurde gelöscht.

Versursacht bzw. ermöglicht hat das aber AVM. Denn diese Firma hätte spätens als die TLD „.box“ vergeben wurde eben die Domain „fritz.box“ registrieren oder besser noch alle Fritz-Boxen per Update auf eine für solche Zwecke reservierte TLD wie „.home“ oder „.private“ umstellen sollen.

  1. Hallo Raketenwilli,

    danke für die Info.

    Ich nehme an, dass AVM die fritz.box Adresse zu einer Zeit einführte, als man noch keine eigenen TLDs kaufen konnte. Und jetzt sitzen sie in der Legacy-Falle. Wenn sie das auf fritz.home ändern, dürften 50% der AVM Anwender und 99% der Fritzbox-Tools, die hier rumfliegen, auf die Nase purzeln.

    Eine TLD "private" find ich übrigens nicht…

    Jedenfalls gut, dass ich mir ganz bewusst keinen Favoriten für fritz.box gemacht habe 😀

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Jedenfalls gut, dass ich mir ganz bewusst keinen Favoriten für fritz.box gemacht habe 😀

      Hab ich schon. Aber wohlweislich nicht auf transportablen Geräten. (Laptops, Smartphoes, „Kursspielzeug“)

      • Lustig wird ist das mit DNS-Caches. systemd-resolved richtet unter modernen Linuxen einen solchen auf der 127.0.0.53, Port 53 ein … Da können ein paar Sekunden, Stunden oder Tage (siehe „TTL“) im heimischen Netz aus dem Internet gezogene IP-Adressen „gelten“ oder unterwegs die aus dem heimischen Netz...

      Wenn sie das auf fritz.home ändern, dürften 50% der AVM Anwender und 99% der Fritzbox-Tools, die hier rumfliegen, auf die Nase purzeln.

      Ja. Je nach dem wie unbedarft da was eingerichtet wurde. Ich muss auch mal - und zwar bis hinein in Dateien wie /etc/fstab checken, ob ich nicht „vielleicht doch“ ... aber wenn ist es eh die ganze TLD „box.“, die auf meinen beiden DNS und also in meinem Netz die „meine“ ist. Deshalb ist mir das Problem nicht aufgefallen. Und deshalb war/bin ich zufällig nicht betroffen

      Ich hab aber parallel die nach RFC6762 zulässige TLD „home.“ eingerichtet.

      Eine TLD "private" find ich übrigens nicht…

      Nanu? Die Wikipedia-Seite nennt diese und RFC6762, Anhang G, auch:

      https://datatracker.ietf.org/doc/html/rfc6762#appendix-G

      Appendix G. Private DNS Namespaces

         The special treatment of names ending in ".local." has been
         implemented in Macintosh computers since the days of Mac OS 9, and
         continues today in Mac OS X and iOS.  There are also implementations
         for Microsoft Windows [B4W], Linux, and other platforms.
      
         Some network operators setting up private internal networks
         ("intranets") have used unregistered top-level domains, and some may
         have used the ".local" top-level domain.  Using ".local" as a private
         top-level domain conflicts with Multicast DNS and may cause problems
         for users.  Clients can be configured to send both Multicast and
         Unicast DNS queries in parallel for these names, and this does allow
         names to be looked up both ways, but this results in additional
         network traffic and additional delays in name resolution, as well as
         potentially creating user confusion when it is not clear whether any
         given result was received via link-local multicast from a peer on the
         same link, or from the configured unicast name server.  Because of
         this, we recommend against using ".local" as a private Unicast DNS
         top-level domain.  We do not recommend use of unregistered top-level
         domains at all, but should network operators decide to do this, the
         following top-level domains have been used on private internal
         networks without the problems caused by trying to reuse ".local." for
         this purpose:
      
            .intranet.
            .internal.
            .private.
            .corp.
            .home.
            .lan.
      

      Da ist dann gleich der Hinweis, dass MAC-Benutzer ihr teures Zeug auch husten hören können und dass brave RedHat-artige Linux-Distros mit der “localhost.localdomain“ in der Datei /etc/hosts (und womöglich sonstwo → Mailsoftware) auch daneben liegen.

      Für diejenigen, die sich über die Schreibweise mit dem Punkt am Ende (zB. „box.“ und „home.“) wundern: Die TLDs enden tatächlich mit dem Punkt. Der wird bei der Verwendung nur nie mitgeschrieben. Wenn man sich aber z.B. in bind eine Zone baut muss man ihn angeben.

      1. Husten? Weche Benutzer kommen den heute noch ohne aus? Anscheinend ja nicht mal „lINUX“?
        Gut, da herrscht ja auch, was den Unterbau angeht, nicht selten dieses „machen wir’s wie Redmond“. Während man oberflächlich, nach anfänglichem Gemecker, dann doch gerne in andere Richtungen schielt. Ob die sich jetzt darüber freuen, daß sie über diesesn Umweg seit einiger Zeit Android kopieren dürfen? Oder verheiraten sie gerade Unter- und Oberhaus und bauen eine HTML-GUI mit JS als Meta-OS darunter?

        1. Husten? Weche Benutzer kommen den heute noch ohne aus?

          Gemeint waren mit „Mac-Benutzer“ die Benutzer von Macintoshs, angefressenen Äpfeln oder wie auch immer Du das Zeug bezeichnen willst.

          Anscheinend ja nicht mal „lINUX“?
          Gut, da herrscht ja auch, was den Unterbau angeht, nicht selten dieses „machen wir’s wie Redmond“.

          Nee. Bestimmt nicht. Aber wenn M$ sich zusammen mit anderen in den Normungsgremien durchsetzt, dann müssen sich die Linuxer/GPLer auch an diese Normen halten, damit deren Geräte mit den anderen kommunizieren können.

          Während man oberflächlich, nach anfänglichem Gemecker, dann doch gerne in andere Richtungen schielt.

          Das ist es, was Microsoft betreibt. Mal was von wsl gehört?

          Ob die sich jetzt darüber freuen, daß sie über diesesn Umweg seit einiger Zeit Android kopieren dürfen? Oder verheiraten sie gerade Unter- und Oberhaus und bauen eine HTML-GUI mit JS als Meta-OS darunter?

          Office 365? Da sind die Burschen weder die ersten noch die letzten. Z.B. Thunderbird scheint neulich auch weitgehend Richtung HTML-GUI gerückt zu sein. Mit der Fortentwicklung von HTMl, CSS und ECMA/JS ist das aus Entwickler-Sicht auch einfacher und für diese also sinnvoll.

          1. Nicht mal der vom Donnergöttchen fallen gelassene Hammer kommt ohne MAC aus? Selbst auf „Bastelkistchen“, welche nie und nimmer I/O abseits von „Tastern und LEDs“ abkriegen? Das irritiert mich jetzt doch (nicht sehr).

            Um durge…e Normen geht’s mir nicht. Eher um „persönliche Erfahrungen“. Erinnerungen an beispielsweise die alten Kisten mit (na ja) RAID-Contoller im Bauch, die eine gewisse Zeit mal beliebt waren. Und an eine neue Distribution, die beim Installieren einfach mal so die Platten des eigentlich noch nicht mal eingebundenen RAID gebügelt hat. Anscheinend, weil man da kommentarlos die Unterstützung komplett gestrichen hatte. Und da ist Plattmachen (ähnlich, wie M$ es später mal mit Bootcamp gemacht hat) „schon von 1000 Augen abgesegnete“ gute Manier?

            Und „vorhin“ bin ich über ein Stück „Tipps zum Fuchs“ gestolpert: am Anfang sieht es ja noch ordentlich aus. Ja hat man nicht sogar ⌘⃣  w⃣ gekapert? Na, eher ⌘⃣  q⃣ nach ^⃣  ⇧⃣  q⃣ mutiert? Bei „vorwärts“ und „zurück“ könnte man ja noch ein ö⃣ und ä⃣ mit einer ⌘⃣  zudrücken (immerhin: eine „lokalsprachige Anleitung ist es ja). Aber ⌘⃣ ⇥⃣  bzw. ⌘⃣  ⇤⃣ ? Da werden mehr als nur „ordentliche Neuländer“ lange Gesichter ziehen!
            Und: wieso verschont man Win und Gandalf, äh, AltGr?

            Zum Schielen sage ich jetzt einfach mal „runde Ecken“. Ja, die standen, vor allem „damals™“, in den HIG. Ziemlich weit hinten. Sozusagen „nach Bauhaus“: wenn das Haus steht und bewohnt ist, könnt ihr darüber nachdenken, welche Blümchen ihr in den Garten pflanzt.“ Aber umgekehrt funktioniert es seit eniiger (gewisser?) Zeit auch ganz gut: post 10.9 erinnert die Oberfläche immer mehr an Kacheln, die immer mehr plattgebügelt werden. Skeuomorphismus? Stand in den HIG mal deutlich früher auf den Seiten.

            Keine Ahnung, wie so ein Abo-Kram aussieht oder funktioniert. (Kann das „ich kann keine Seiten, nur gesammelte Buchstaben“ noch immer nicht korrekt Anfürhungszeichen setzen?)

            Und „HTML-GUI“ … Eine GUI sie zu knechten, sie alle zu finden, Ins Dunkel zu treiben und ewig zu binden? — „Bei Verständnisproblemen wenden Sie sich vertrauensvoll an ihren SwiftUI-Dienstleister …“; man muß da nicht viel verstehen, kurze Blicke auf Code-Schnippsel wie z. B. “How to draw a border …” finde ich jedenfalls bezeichnend genug.

    2. n'Abend,

      Ich nehme an, dass AVM die fritz.box Adresse zu einer Zeit einführte, als man noch keine eigenen TLDs kaufen konnte. Und jetzt sitzen sie in der Legacy-Falle.

      aus einem ähnlichen Grund hat mein Arbeitgeber keine Chance, ausgewählte Intranet-Seiten auch von außerhalb des lokalen Firmennetzes erreichbar zu machen, weil man sich vor einigen Jahren entschieden hat, das Intranet unter der fake-Domain luetze.int anzubieten und diese Domain über einen internen Nameserver aufzulösen.

      Deshalb gibt es jetzt natürlich keine Chance, diese Seiten ohne VPN-Verbindung ins Lütze-Netz und ohne den Lütze-internen Nameserver zu erreichen.

      Einen schönen Tag noch
       Martin

      --
      Wo wir sind, ist das Chaos. Aber wir können leider nicht überall sein.
    3. Hallo

      danke für die Info.

      Ich nehme an, dass AVM die fritz.box Adresse zu einer Zeit einführte, als man noch keine eigenen TLDs kaufen konnte.

      Das ist soweit korrekt.

      Und jetzt sitzen sie in der Legacy-Falle. Wenn sie das auf fritz.home ändern, dürften 50% der AVM Anwender und 99% der Fritzbox-Tools, die hier rumfliegen, auf die Nase purzeln.

      Die Einführung der TLD „.box“ ist nun schon einige Jahre her [1] und zumindest im deutschsprachigen Raum, wo die Fritzboxen verbreitet sind, war die mögliche Kollision von fritz.box als lokaler Adresse einer Fritz!Box mit einer möglichen Registrierung einer öffentlichen Domain gleichen Namens von Anfang an immer wieder ein Thema. Das war es bei der Einführung der TLD an sich, bei den ersten Problemen von Nutzern von Telekom-DNS-Servern, die die Domain fritz.box im Internet suchten und jetzt wieder [2].

      Übrigens betrifft das selbe Problem auch die Adresse „o2.box“ für von O2 vertriebene und entsprechend gebrandete Fritzboxen. Das macht ein Versehen äußerst unwahrscheinlich.


      [edit]: Jörg hat einen Artikel aus der Zeit direkt nach Einführung der TLD .box gefunden. Die Einführung der TLD fand demnach 2016 statt.


      AVM hätte genug Zeit gehabt, mit Updates den Boxen eine neue, sicher[4] lokale Domain zuzuweisen und das öffentlich zu verbreiten. Da für das Sicherheitsupdate im September 2023 auch Gerätetypen berücksichtigt wurden, die vor damals bereits 15 Jahren eingeführt wurden, zieht meiner Meinung nach auch die typisch lange Nutzungszeit der Boxen, für die man keine Updates hätte bereitstellen können, nicht als Ausrede. Man hätte mit einem entsprechenden Vorgehen weit mehr als die von dir vermuteten 50% der Boxen erwischen und dem Problem entziehen können. Meiner Vermutung nach hätten das über 90% sein können, womit auch der „Reiz“, über die Registrierung der Domain an viele Fritbox-Nutzer heranzukommen, an die man seine Werbung verbreiten kann, sehr viel geringer gewesen wäre.

      Tschö, Auge

      --
      „Habe ich mir das nur eingebildet, oder kann der kleine Hund wirklich sprechen?“ fragte Schnapper. „Er behauptet, nicht dazu imstande zu sein“ erwiderte Victor. Schnapper zögerte (…) „Nun …“ sagte er schließlich, „ich schätze, er muss es am besten wissen.“ Terry Prattchett, Voll im Bilde

      1. Ich habe keine Liste mit Einführungsdatum der TLDs gefunden. Im Wikipedia-Artikel zu TLD hätte ich eine solche Liste vermutet [3], aber auch dort finde ich nur eine Grafik mit Stand von 2017 und ohne die Einführungsdaten, in der die TLD .box noch nicht aufgeführt ist. [edit] Siehe dazu mein Eidt weiter oben [/edit] ↩︎

      2. Leider finde ich zu der Diskussion bei Einführung der TLD .box oder bei den ersten Problemen mit dem Telekom-DNS aktuell nix. Durch das aktuelle Problem sind die Suchindexe für die damaligen Artikel nicht zu gebrauchen. ↩︎

      3. die hauen sich ja gerne mal ihre Artikel mit Endloslisten voll ↩︎

      4. „sicher“ im Sinne von „mit Gewissheit“ ↩︎

  2. Nun, bei AVM läuft nun mal vieles (alles?) unter dem Motto WFM. Sprich: „bei mir sieht es gut aus, also funktioniert das auch“. Anscheinend wird dabei dann auch gleich noch geschlußfolgert, daß dieses „es“, wenn es denn „funktioniert“, doch keinesfalls auch falsch funktionieren könnte.
    Lange ist es ja noch nicht her, als ein Safari-Update den Zugriff auf die Boxen verweigert hat. Denn: die von AVM geheim gehaltene Liste von da erlaubten Browsern (bzw. da dringend benörigten „schade, kein <blink> mehr“ Featrues) verlangt ja auch zwingend nicht nur nach JS sondern obendrein nach zumindest in LAN (Laurin, äh, Wireshark läßt grüßen?) ungesichert übertragenen Daten. — BTW, Wireshark: haben die auch weiterhin das dazu passende, wenn auch „versteckte“, Tool (nettes Angriffsziel für „dahinter“?) im Bauch?
    Aber zurück zum WFM: offensichtlich benutzen die von AVM entweder ihren Kram selber überhaupt nicht, zumindest nicht als Heimtelefonanlage, oder eben nur über eine (permanent?) geöffnete Browser-GUI. Denn: man versuche nur mal, auf so einem Telefon Einträge („Telefonbuch“, „Wecker“ …) mit Großbuchstaben zu erzeugen …
    AVM vertrauenwürdig (incl. selbst geschitzter TLD)? IMO eher nicht.

  3. https://www.heise.de/news/Neue-Top-Level-Domain-box-bringt-manche-Netze-durcheinander-3491185.html

    Zitate:

    Die seit dem 11.11.2016 gültige Top-Level-Domain .box beschert manchen Fritzbox-Nutzern Probleme

    Wie AVM mit dem Problem umgehen will, ist derzeit noch unklar: Die Antwort auf eine Anfrage von c't steht noch aus.

    Der Artikel ist vom 18.11.2016. Das bedeutet, dass sich im Januar 2024 ein Problem zugespitzt hat, welches AVM seit mehr als sieben Jahre bekannt war… Ich bin ziemlich enttäuscht, weil ich bisher - aus guten Gründen - viel von der Firma und deren Produkten gehalten habe. Und dieses „bisher“ begann mit ISDN.

    IT-Archeologen wissen in welchem Jahrtausend das war. Historiker wissen: England hatte damals eine Königin, die noch selbst das Schwert in die Hand nahm.

    1. Wenn’s um Archäologie geht: zu der Zeit mochte ich Elsa. Aber es ist halt so oft wie bei den VCR auch: das Gute wird verpönt, das Mittelmäßige macht ewig Probleme und das nur billige und damit keinesfalls Preiswerte füttern die Neul… äh, Leute durch.

      1. Da habe ich doch gerade noch was entdeckt. Etwas, das einem den Verdacht nahe legt, an dieser „Beliebtheit“ könnten womöglich „Jubelpserser“ tragen:

        Seit FritzOS 7.50 sendet die Fritzbox auch Bonjour-Annoncen, um ihre Dienste im internen Netz zu annoncieren. Das ntutzen Fritz-Apps, um Fritzboxen schneller zu finden. Nicht nur Windows, sondern jetzt auch Linux- und macOS-Anwender …

        (c’t Netzwerke, Nov. 2023)
        Jetzt auch? Aber hübsch Bonjour drauf schreiben? Gerade bei denen, die in ihren Foren anno dunnemals so gerne Über Rendevouz/Bonjour ähnlich ausgiebig gelästert haben wie über „runde Ecken“? Mich dünkt, in Hanover ist von der alten Garde niemand mehr übrig. (...Moderatorenlöschung...)

        1. Hallo nix,

          die c't Redaktion sollte unverdächtig sein, dem iranischen Geheimdienst aus Schah-Zeiten anzugehören. Claqueure kannst Du sie nennen. Wieso Du ihnen deshalb eine Nähe zur AFD unterstellst und mit nur einem n genderst, erschließt sich mir hingegegen nicht (Ich kenne Apfelsinen, aber RedakteurInen?!) und könnte als üble Nachrede ausgelegt werden. Deshalb habe ich diesen Satz entfernt.

          Dass AVM jetzt auch Bonjour anbietet, ist tatsächlich beeindruckend. Wow. Mac OS X ist gerade mal 23 Jahre alt, und sie können es schon.

          Rolf

          --
          sumpsi - posui - obstruxi
          1. RedakteurInen?!

            ⁇!

            und sie können es schon

            Was, die haben es nicht erfunden?

            Und ist es nicht schade, daß man hier nicht mit einem fritz!fon schreiben kann? Oder eher, daß heute™ redmond.com und Redmond.COM als identisch und deshalb doch, gerade noch, damit genutzt werden können?

            Egal: mit kommentarlos eingespielten „Features“ wie z. B. dem zwingenden Bedürfnis nach „Neo-Blink“ (3d-Transformationen schon fürs Login), mit dem Zwang zu von AVM genehmigten, aber streng geheim gehaltenen Browsern, sind sie ja bestimmt vollständig ausgelastet.