Ich bin ja mal gespannt, ob Vodafone es auch bei mir schafft, den verfügbaren Upgrade auf 7.57 innerhalb eines Jahres einzuspielen. Bis jetzt haben sie das noch nicht geschafft.
Aber damit hören die Sicherheitslücken nicht auf: Wenn man in der Weboberfläche der Fritz!Box unter Assistenten "Sicherheit" auswählt und die Ausgabe sorgfältig durchliest, stößt man auf folgendes Juwel:
Auto Configuration Server (ACS): http://axs.technik.kabel-deutschland.de:7547/live/CPEManager/CPEs/genericTR69/<xxxxxxxxxxx>
Genutztes ACS Protokoll: http
Überprüfung des ACS Zertifikats: nicht aktiv
Das heißt, dass Vodafone ihre Konfigurationsdaten (und dazu gehören wahrscheinlich auch personenbezogene Daten) UNVERSCHLÜSSELT UND OHNE AUTHENTISIERUNG ÜBER DAS INTERNET an alle von ihnen gemanagten Router verteilt!
Das ist nicht nur eine riesige Sicherheitslücke und in höchstem Maße unprofessionell, sondern auch, wenn personenbezogene Daten über das TR069-Protokoll vom ACS-Server verteilt werden, ein Verstoß gegen die DSGVO und das Bundesdatenschutzgesetz.
Ich werde diesen Verdacht dem Bundesdatenschutzbeauftragten melden, vielleicht schafft er es ja, in den Laden etwas frische Luft zu pusten...
