Sicherheitsrisiko/Lücke bzw. leichtes Tracking durch Nutzung von myfritz.net

towaco · 28. März 2025 um 07:44

Hi Zusammen,

nachdem ich mir ein wenig Gedanken darüber gemacht habe und auch div. Dinge dazu recherchiert habe, kann man es mehr oder weniger so bestätigen, dass die Nutzung einer fritz.box (vor allem dann auch in Verbindung mit myfritz.net bzw. Wireguard eine mehr als nur kleine Gefahr ist.

Ich vermute, dass ein Großteil der fritz.box Nutzer den myfritz.net Dienst am Laufen hat. Vor allem dann, wenn er z.B. auch Wireguard nutzen will.

Doch eben genau der myfritz.net Dienst ist eine riesige Gefahr, was das User-Tracking angeht.
Es ist sozusagen ja ein eindeutiger Identifier.

Wenn man mit entspr. Tools einen reverse Lookup macht findet man schnell und einfach die aktuelle IP des myfritz.net Nutzers heraus (auch soweit logisch).

Doch auch Werbetreibende bzw. wer auch immer kann sich das zu Nutze machen und sehr sehr leicht ein Profiling betreiben.
Vielen ist das gar nicht so bewusst. Sie versuchen auf div. Wegen dem Tracking aus dem Weg zu gehen. Doch selbst wenn sie immer wieder neue dynamische IPs bekommen (Deutschland überwiegend), ist der Identifier der myfritz.net Adresse gleich.

Wenn man z.B. Tools wie securitytrails.com nutzt und dann dort auch noch die History anschaut, sieht man schön welche IPs der Nutzer in welchen Zeiträumen hatte und kann das natürlich wiederum mit seinen Gewohnheiten matchen.

Sprich Dienstbetreiber/Website-Betreiber usw. wissen genau wann wer wie auf deren Seite war/Dienste genutzt hat usw.
Egal ob er zwischenzeitlich neue IP-Adressen bekommen hat oder nicht.
Und wenn er dann von unterwegs noch sich in seinem Wireguard in die fritz.box einloggt, dann weiß man sogar auch das.

Ich finde, dass das eine große Gefahr ist, die gar nicht so weit kommuniziert ist/wird.

Sicherer würde man in meinen Augen fahren, wenn man „nicht“ myfritz.net nutzt, selbst Wireguard auf einem Raspi/Proxmox installiert usw.
Doch das kann auch nicht jeder (verständlich).

Wäre das nicht auch mal einen Artikel wert darüber zu berichten bzw. evtl. Alternativen hier aufzuzeigen usw.?
CC: @rufposten @kuketzblog

Galaga · 28. März 2025 um 13:01

Täusche ich mich, oder liegt hier exakt die gleiche „Bedrohungslage“ vor, wie bei jeder einem User zuordbaren heimischen Webadresse?
Also das gleiche Spiel bei jeder DynDNS-Nutzung.

Risikomindernd gilt, dass man die zufällige und kryptische myfritz-Adresse des Users erstmal wissen muss.

Und anders als bei sonstigen DynDNS sachen kann man bei myFritz jederzeit die eine neue Adresse bekommen. Wem es also wichtig ist, der macht das jeden Monat. Lästig, aber geht.

towaco · 28. März 2025 um 13:14

Nein - bei diversen weiteren DynDNS ist dort das Listing nicht vorhanden. Bei myfritz.net schon.

Oder halt die aktuelle IP Adresse (jeder Dienst/Website weiß die, wenn man die nutzt/ansurft). Durch Reverse Lookup hat man die myfritz.net Adresse samt Historie der IPs.

Das stimmt - man kann sich neue myfritz.net Adressen generieren lassen - sehr mühsam.

Ich wundere mich auch, dass es bei anderen Diensten als DynDNS dann keine Historie gibt in z.B. Securitytrails.com (habe mit div. Anbietern gegengetestet).

Exilholsteiner · 28. März 2025 um 14:47

Ich verstehe die Problematik nicht.

Wenn ich Webseiten aufrufe, erfährt die Gegenseite nur meine IP-Adresse. Eine rDNS-Abfrage löst aber gerade nicht zu dem myfritz-/dyndns-Namen auf, sondern zu etwas wie dyn-ip-ad-dr-ess.whatever.provider.tld. Ich wüsste nicht, wie Websites (also auch Werbetreibende) den myfritz- oder dyndns-Namen erfahren sollten. - durch eine rDNS-Abfrage geht das jedenfalls nicht.

Da kann ich nur Hostnamen/Domains eingeben. Dieser Dienst setzt also voraus, dass ein Schnüffler den myfritz-Hostnamen bereits kennt. Er kann aber nicht dazu genutzt werden, den myfritz-Hostnamen herauszufinden.

towaco · 28. März 2025 um 15:05

Das stimmt so nicht.

Gib’ mir Deine IP Adresse und ich sage Dir deine myfritz.net Adresse.

Auf der Hauptseite geht es nicht.
Nach kostenfreiem Login kann man in der Übersicht auch IPs angeben und die lösen dann im Falle von myfritz.net dann auch deinen myfritz.net Hostnamen auf und auch die Historie der IPs.

Deswegen schreibe ich das ja hier auch.

Chief1945 · 28. März 2025 um 17:22

@towaco das was du beschreibst ist weder eine Sicherheitslücke noch ein -Risiko. Wer nicht über reverse DNS oder IP getrackt werden will musste schon immer geeignete Maßnahmen wie Tor oder VPN ergreifen, völlig unabhängig von MyFritz.

Dann hat man auch eine Domain, deren DNS-Eintrag auf die IP-Adresse des heimischen Anschlusses verweist und in regelmäßigen Abständen von einem Dyn-DNS-Klienten erneuert wird.

Exilholsteiner · 28. März 2025 um 19:07

Das wusste ich nicht. Aus Deinem OP wurde auch nicht klar, dass man nach Anmeldung auf myfritz.net dort nach IP-Adressen suchen kann. Ich nutze - wie wohl die allermeisten Fritzbox-Besitzer - myfritz.net nicht.

Außerdem bezweifle ich, dass die - theoretische - Möglichkeit, nach Anlegen eines Accounts über die Website IP-Adressen auf einen möglicherweise zugeordneten myfritz-Hostnamen aufzulösen, jemals in der Praxis relevant werden könnte. AVM dürfte nicht begeistert sein, wenn von einem myfritz-Account über den AVM-Webserver im Sekundentakt deutsche IP-Adressen nach einem möglicherweise dazu gehörenden myfritz-Hostnamen abgefragt werden.