Seit einer Woche haben Unbekannte die Internet-Domain „fritz.box“ für sich registriert, was für Besitzer von AVM-Routern unerwartete Folgen hat. Wer die Adresse außerhalb seines Heimnetzwerks in einen Browser eingibt, wird nicht mehr die gewohnte Router-Verwaltungsseite sehen, sondern stattdessen mit einer NFT-Werbeseite konfrontiert.

Router und WLAN-Geräte von AVM verwenden standardmäßig die Domain „fritz.box“, um Geräten im Heimnetzwerk DNS-Namen zuzuweisen. Auf diese Weise ist beispielsweise das eigene NAS-Gerät unter dem leicht zu merkenden Hostnamen „synology.fritz.box“ erreichbar. Die DNS-Auflösung erfolgt dabei über den in der Fritzbox integrierten DNS-Server, der eine Liste bekannter Geräte mit den zugehörigen Hostnamen und IP-Adressen führt. Solange der Nutzer keinen anderen DNS-Server für die Namensauflösung verwendet oder dies etwa durch VPN-Software geschieht, funktioniert dieses System reibungslos.

Außerhalb des von AVM unterstützten Heimnetzwerks ist die Adresse „fritz.box“ jedoch eine weltweit erreichbare Domain, ähnlich wie beispielsweise „heise.de“. Ihr Besitzer kann sie mit beliebigen Inhalten belegen. Seit dem 22. Januar haben Unbekannte die Domain übernommen und präsentieren derzeit eine Werbeseite für NFTs. Die Absichten der neuen Besitzer sind unklar und könnten von Typosquatting (Besetzen einer Domain mit ähnlicher Schreibweise wie eine beliebte Internetadresse) bis hin zu möglicherweise bösartigen Absichten reichen.

Es überrascht, dass der Berliner Netzwerkausstatter AVM die Adresse nicht selbst gesichert hat, da das Missbrauchspotenzial hoch ist. Ein Angreifer könnte beispielsweise über eine E-Mail-Kampagne Sicherheitshinweise im AVM-Design verschicken, die auf die vertraute Adresse „fritz.box“ verweisen. Ruft der Heimnetz-Administrator diesen Link von unterwegs auf, könnte eine gefälschte Login-Seite die Zugangsdaten abgreifen. Obwohl für einen konkreten Angriff auf die heimische Fritzbox oft die IP-Adresse fehlt, könnten die erbeuteten Zugangsdaten in weiteren Angriffen nützlich werden.

Um sicherzustellen, dass die Fritzbox im heimischen Netzwerk angesprochen wird, empfiehlt es sich vorübergehend, im Browser anstelle des Domainnamens „fritz.box“ die IPv4-Adressen 192.168.178.1 oder 169.254.1.1 zu verwenden. Diese Adressen sind für private bzw. link-lokale Netzwerke bestimmt und werden nicht im Internet geroutet. Mit den Standardeinstellungen eines AVM-Routers ist dieser unter beiden IPv4-Adressen erreichbar.

In Bezug auf DNS-basierte Adblocker wie pi-hole oder AdGuard Home, die zwischen Heimgeräten und dem Internet agieren und den DNS-Resolver der Fritzbox umgehen, sollten Nutzer sicherstellen, dass die Domain „fritz.box“ weiterhin dem Router zugewiesen ist. AVM bietet auf seinen Hilfe-Seiten Lösungsvorschläge an.

AVM hat in einem ersten Statement gegenüber heise security betont, sich der Verantwortung bewusst zu sein und den Vorgang genau zu beobachten. Die konkreten Schritte des Netzwerkausstatters waren zum Zeitpunkt dieser Mitteilung jedoch nicht bekannt. Es hatte bereits Probleme für Fritzbox-Nutzer gegeben, kurz nachdem die Top-Level-Domain „.box“ eingeführt wurde.