.U21088 Anzeige
.U21088 .U21088

WPA2: Forscher entdeckt Schwachstellen im WLAN-Verschlüsselungsprotokoll *Update*

Nahezu alle WLAN-Geräte sind betroffen

Das WLAN-Verschlüsselungsprotokoll WPA2 weist Schwachstellen auf, wodurch es möglich ist, dass unbefugte Dritte die Kommunikation mitlesen können. Ein Patch soll die Schwachstellen beheben, jedoch ist nicht gesagt, dass jedes Gerät ein entsprechendes Update erhalten wird.

Krack erlaubt das Mitlesen der verschlüsselten Kommunikation

Die Schwachstelle wurde vom Sicherheitsforscher Mathy Vanhoef entdeckt. Er konnte erfolgreich WLAN-Netzwerke angreifen, indem er eine sogenannte „Key Re-Use Attack“ (Krack) nutzte. Mit dieser ist es möglich, die verschlüsselte Kommunikation mitzulesen. Das Passwort des WLANs wird für den Angriff nicht benötigt.

Angreifer muss sich in Nähe des WLANs aufhalten

Derzeit sind noch keine tatsächlichen Angriffe bekannt. Vanhoef hat mit „Krack“ lediglich zeigen wollen, dass die WPA2-Verschlüsselung angreifbar ist.

fritzbox-7580-vorderseiteNahezu alle WLAN-Geräte mit WPA2-Sicherheitsprotokoll sind von den Schwachstellen betroffen.

Zur Durchführung des Angriffs muss sich der Angreifer zudem in Reichweite des WLANs befinden. Da die Schwachstelle im Protokoll sitzt, sind alle WLAN-fähigen Geräte, die die WPA2-Verschlüsselung nutzen, betroffen. Es sind somit nicht nur Router, sondern unter anderem auch PCs, Notebooks und Smartphones betroffen.

Patch macht WPA2 wieder sicher

Jetzt sind die Hersteller gefragt, Patches für ihre Geräte bereitzustellen. Wann dies soweit ist, kann noch nicht gesagt werden. Insbesondere bei Android-Geräten dürften viele Nutzer vergeblich auf ein Update warten, da in der Regel nur aktuelle Modelle von den Herstellern gepflegt werden. Der Hersteller der in Deutschland häufig genutzten Fritzbox (Testbericht), AVM, hat gegenüber n-tv.de versichert, ein Update bereitzustellen, falls das notwendig sei.

Das sollten Nutzer bis zum Erscheinen eines Updates beachten

Bis es ein Patch beziehungsweise Update für die verschiedenen Endgeräte gibt, sollte weiterhin WPA2 genutzt und keinesfalls auf ein älteres Sicherheitsprotokoll wie WEP umgestiegen werden. Wer auf Nummer sichergehen möchte, sollte sensible Onlineaktivitäten, beispielsweise Online-Shopping oder Online-Banking, nicht mehr über die WLAN-Verbindung tätigen. Stattdessen bietet sich die Verbindung per LAN-Kabel an.

Update

D-Link hat sich zu den Schwachstellen im WPA2-Protokoll geäußert und verweist darauf, dass Firmware-Patches von den Halbleiterchipsatz-Herstellern benötigt würden. D-Link habe Hersteller um Unterstützung gebeten und werde die Updates auf der Webseite zur Verfügung stellen, sobald diese Verfügbar seien. Bis zur Verfügbarkeit der Updates rät D-Link seinen Kunden Kommunikationsprotokolle wie VPN oder GTTPS zu nutzen, insbesondere wenn es um vertrauliche Informationen (beispielsweise Online-Banking) geht. Untenstehend findet ihr die englischsprachige Stellungnahme:

„On October 16th, researchers disclosed security vulnerabilities in the widely used standard for Wi-Fi security, the WPA2 (Wi-Fi Protected Access II), that make it possible for attackers to eavesdrop on Wi-Fi traffic. D-Link started investigating this issue straight away. This security concern appears to be an industry-wide issue that will require firmware patches to be provided from the relevant semiconductor chipset manufacturers. Therefore, D-Link requested their assistance and, as soon as the firmware patches are received, they will be posted on our websites. In the meantime, we highly recommend our customers to protect their privacy by using encrypted communications protocols such as VPN or HTTPS, especially when delivering confidential information.  Please keep checking our website for the newest firmware updates.“

Mit * markierte Links sind Affiliate-Links. Mit dem Kauf über diesen Link erhalten wir eine Verkaufsprovision, ohne dass du mehr bezahlst.

Quellen
Niklas Ludwig Niklas Ludwig

Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher, weiblicher und diverser Sprachformen (m/w/d) verzichtet. Alle Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

^