WPA2-Verschlüsselung fehlerhaft
„KRACK“: Gravierende WLAN-Schwachstelle betrifft nahezu alle Geräte
Die niederländischen Sicherheitsexperten Mathy Vanhoef und Frank Piessens haben eine schwerwiegende Lücke im WLAN-Standard WPA2 entdeckt. Die Attacke mit dem Namen KRACK erlaubt es offenbar, den Datenverkehr eines beliebigen Nutzers im gleichen Netzwerk mitzulesen. Aufgrund der Tatsache, dass die Schwachstelle im aktuellen WLAN-Standard selbst zu finden ist, können Vanhoef zufolge damit alle nach aktuellem Standard geschützten Netzwerke attackiert werden.
„Wenn dein Gerät WLAN unterstützt, ist es ziemlich sicher von dieser Schwachstelle bedroht“ schreiben die beiden Niederländer in der Dokumentation ihrer Entdeckung. Als Beispiel wurde zwar ein Android-Gerät ausgewählt, ebenso ließe sich das Verhalten aber auch unter Linux, Apple, Windows, OpenBSD, MediaTek, Linksys und weitere Geräten nachvollziehen, wenngleich die Geräte mit Linux und Android 6.0 oder höher als Betriebssystem besonders schwer betroffen seien.
Die Verwendung von verschlüsselten Protokollen wie HTTPS sei hilfreich, biete allerdings unter bestimmten Umständen keinen Verlass auf geschützte Datenübertragung. So würden beispielsweise viele Apps das gesicherte Protokoll umgehen.
In general, any data or information that the victim transmits can be decrypted. Additionally, depending on the device being used and the network setup, it is also possible to decrypt data sent towards the victim (e.g. the content of a website). Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple's iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.
Mit Blick auf die Auswirkungen dieser Entdeckung heißt es zunächst Abwarten. Mehr denn solltet ihr in den kommenden Tagen und Wochen auf Sicherheits-Updates bei euren WLAN-fähigen Geräten achten.
UPDATE: Warnhinweis des BSI
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat inzwischen eine Warnmeldung diesbezüglich inklusive folgender Empfehlung veröffentlicht:
Insbesondere clientseitig bereitstehende Sicherheitsupdates sollten umgehend eingespielt werden. Falls Sie nicht sicher sind, ob der Hersteller eines Ihrer Geräte mit WLAN-Schnittstelle bereits auf die Veröffentlichung der Schwachstellen reagiert hat, verwenden Sie zur Datenübertragung ausschließlich kabelgebundene Verbindungen oder mobile Datennetze. Um das Risiko zu minimieren, können kabellose Verbindungen zusätzlich mit einer VPN-Verschlüsselung abgesichert werden. Zum Zeitpunkt der Veröffentlichung liegen noch keine Hinweise auf Sicherheitsupdates im Endkundenbereich vor. Einige Hersteller von Linux-Software und amerikanische Hersteller von WLAN-Routern haben bereits mit Sicherheitsupdates reagiert.