Update, 17. Oktober: Einen Tag nach Bekanntwerden der WPA2-Sicherheitslücke haben erste Unternehmen Updates für ihre Geräte und Software veröffentlicht. Der Router-Hersteller Ubiquiti hat etwa eine neue Firmware für den WLAN-Router Amplifi freigegeben. Microsoft hatte bereits vor einigen Tagen Sicherheits-Updates veröffentlicht, um die Lücke zu schließen.
Auch Apple stellt Patches für seine Betriebssysteme iOS, tvOS, watchOS und macOS bereit. Allerdings gibt es die Updates momentan nur für deren Beta-Versionen. Eine Veröffentlichung für alle Nutzer erfolgt in der Regel kurze Zeit später. Google will ein Update für Android-Nutzer in knapp einer Woche ausliefern, schreibt The Verge. Auch der Router-Hersteller AVM will für seine FritzBox-Modelle eine neue Firmware veröffentlichen. Hier die Hintergründe zum WPA2-Hack:
Kurz nach elf hatte sich am Montagmorgen eine schlimme Befürchtung bestätigt. „Wir haben eine schwere Lücke im WPA2-Protokoll entdeckt, das alle modernen WLAN-Netzwerke schützt“, schreiben die Autoren eines Sicherheitsreports. Jeder Angreifer, der sich physischen Zugriff zu einem Router verschaffen kann, habe damit die Möglichkeit, unverschlüsselte Daten zu stehlen. In der Theorie stehe alles auf dem Spiel, schreiben die belgischen Sicherheitsforscher der KU Leuven: Kreditkarten-Nummern, Passwörter, Chats, E-Mails und Fotos. „Je nach Netzwerkkonfiguration ist es möglich, Daten zu injizieren und zu manipulieren“, heißt es weiter. Möglich seien damit auch Angriffe etwa mit Ransomware.
Die Lücke betreffe nicht einzelne Router, sondern den Sicherheitsstandard als solchen. Der Exploit der Forscher trägt den Namen KRACK, die Kurzform für Key Reinstallation Attack – das Programm nutzt mehrere Sicherheitslücken bei der Verbindung zwischen WLAN und Endgeräten aus. Die Fehler liegen im so genannten Vier-Wege-Handshake, der eigentlich für die Sicherheit von WIFI-Verbindungen sorgen soll. Laut der Forscher, die mit dem US CERT zusammenarbeiten, lassen sich die WPA2-Sicherheitsprotokolle fast aller gängiger Router unterlaufen. Die Angriffsmöglichkeiten seien vielfältig, teilte das CERT bereits im Vorfeld gegenüber Unternehmen mit. Decryption, Packet Replay, TCP-Highjacking und HTTP-Injection seien nur einige Beispiele.
Einzelne Hersteller von Routern haben bereits auf die Warnungen der Forscher reagiert und Sicherheitsupdates veröffentlicht. Erfahrungsgemäß dauert es aber lange, bis alle Verkäufer von Internet-Routern auf solch eine neue Bedrohungslage reagieren. Ob der eigene Router betroffen ist, lässt sich über diese Datenbank des CERT/CC oder per Anruf beim Anbieter herausfinden.
Die Details zu ihrem Exploit wollen die Erforscher unter anderem auf der Black Hat Europe Konferenz im Dezember präsentieren. Ihr Paper steht allerdings schon zum Download bereit.
Grund zur Panik besteht dennoch nicht. Eine Massen-Infektion, wie im vergangenen Jahr bei Routern der Telekom, ist unwahrscheinlich. Die aktuelle Sicherheitslücke lässt sich nur dann ausnutzen, wenn ein Angreifer sich nahe einem Router befindet. Großangelegte Angriffe aus dem Internet sind damit unwahrscheinlich. Wer dennoch auf Nummer sicher gehen will, sollte unbedingt darauf achten, keine unverschlüsselten Daten über den Browser zu verschicken. Das kann vor allem dann passieren, wenn eine Seite nicht verschlüsselt ist. Etwas, was sich dadurch erkennen lässt, dass die Seite HTTPS in ihrer Adresse trägt. Durch den Hack wird erneut deutlich, wie wichtig solche zusätzlichen Verschlüsselungsmethoden sind, um Angriffe einzudämmen. Auch VPN-Klienten oder TOR können den Datenverkehr so schützen, dass Angreifer trotz KRACK keinen Zugriff mehr bekommen.