Massive Sicherheitslücke in WLANs

[F-orced-customer]

WPA2-Standard gehackt über Krack

https://www.swr.de/marktcheck/wpa2-standard-gehackt-ueber-krack-massive-sicherheitsluecke-in-wlans/-/id=100834/did=20468554/nid=100834/1pmo52c/index.html

Der weitverbreitete Sicherheitsstandard WPA2 für WLANs ist nicht mehr sicher. Das zuständige Bundesamt rät, bis ein Sicherheits-Update kommt, WLAN nicht für Onlinebanking oder -Shopping zu nutzen.

...
Für debian Linux gibt es bereits einen fix:

Pakete, von denen ein Upgrade durchgeführt wurde:
wpasupplicant

 

[Dringi]

Sorry, aber da wird gerade ein theoretisches Problem zum Weltungang gehypt.

1.) ist KRACK erstmal nur eine Machbarkeitsstudie
2.) gibt es aktuelle noch kein aktiv genutzen Exploid
3.) sind Verbindungen mit HTTPS auch mit WPA2-Sicherheitslücke sicher
4.) müsste ein Krimineller genau deine WLAN-Verbindung angreifen wollen.
5.) wäre eine relativ komplizierte Man-in-The-Middle-Attacke nötig.

Ja, die Möglichkeit ist da, der Aufwand aber recht groß.

 

[Reiner_Zufall]

Das denke ich mir auch. Schlimmer finde ich, dass das es sogar eine offizielle Warnung vom BSI gab, Online Banking nur noch über LAN zu machen.

Die Hysterie ist nicht nachvollziehbar.

 

[Oeconomicus]

Schade ist es in sofern, als dass es Unitymedia leider nicht zwingt eine neue Firmware für die Fritzboxen auszurollen. Die Fritzboxen sind ja leider nicht betroffen, nur die Repeater.

 

[Andreas1969]

Schade ist es in sofern, als dass es Unitymedia leider nicht zwingt eine neue Firmware für die Fritzboxen auszurollen.

UM lässt sich diesbezüglich nicht zwingen :winken:

 

[MartinP_Do]

Ich bin kein Jurist, deshalb etwas spekulativ:

Bei beigestellten Geräten gilt das Produkthaftungsgesetz.

Wenn man also nachweisen kann, dass ein beigestelltes Gerät Sicherheitsmängel hatte, von denen Unitymedia wusste, und trotzdem nicht behoben hat, und dass dadurch ein Schaden entstanden ist - z. B. durch eine über die Sicherheitslücke gekaperte Internet-Verbindung, könnte Unitymedia für Schäden haftbar sein...

Man könnte zwei Lücken miteinander verbinden.

1) über die Wifi-Lücke den Session-Key einer Verbindung mitschnüffeln
2) über Pumaggedon den Router desjenigen aus dem Internet kicken
3) mit dem Session Key z. B. die Verbindung zum Internet-Shop übernehmen, in dem sich der aus dem Internet gekickte gerade bewegt hat...

Wobei ich keinen Shop mehr kenne, der nicht auf HTTPS setzt...

 

[Grothesk]

Die FritzBoxen sind ja auch gar nicht direkt betroffen. Die Lücke besteht clientseitig. Und die Repeater usw. hat AVM soweit ich weiß schon gepatcht.

 

[Oeconomicus]

Schade ist es in sofern, als dass es Unitymedia leider nicht zwingt eine neue Firmware für die Fritzboxen auszurollen.

UM lässt sich diesbezüglich nicht zwingen :winken:

Vielleicht nicht durch den Kunden, aber durch die Umstände. Das hängt aber im Einzelfall von der Art der Sicherheitslücke ab.
Wenn UM dadurch z.B. droht Geld zu verlieren, werden Sie handeln. Nur leider sind die wenigsten Lücken derart kritisch.
KRACK ist ja auch ein eher theoretisches Konstrukt ohne realistisches Drohszenario.