Auswirkungen schwer abschätzbar

Zwar beschreibt Vanhoef die Designfehler selbst wie erwähnt als schwer ausnutzbar. Die Implementierungsfehler in einzelnen Geräten machen es jedoch oft sehr leicht, diese auszunutzen. Insgesamt habe der Forscher etwa 75 WLAN-Geräte- und Plattformkombinationen getestet und diese waren immer verwundbar. Ob aber tatsächlich alle WLAN-Geräte weltweit verwundbar sind oder nicht, vermag Vanhoef nicht zu sagen. Er freue sich über Meldungen von Geräten, die nicht angreifbar seien.

Darüber hinaus verweist Vanhoef darauf, dass zumindest die Nutzung von HTTPS-Verbindungen das Ausleiten von Daten verhindert. Die Angriffe haben hier demnach vergleichsweise wenig praktische Relevanz. Für den Fall, dass etwa Geräte direkt angegriffen werden, um beispielsweise NAT oder Firewall zu umgehen, helfen letztlich nur Updates. Insbesondere IoT-Geräte würden aber nur selten entsprechend gepflegt. Auch von verschiedenen Herstellern nicht mehr gepflegte WLAN-Produkte wie Access Points, Router oder auch WLAN-Karten könnten bei Updates außen vor bleiben, Nutzer sind hier von den Herstellern abhängig.

Die Linux-Kernel-Entwickler haben bereits gemeinsam mit Vanhoef Patches erstellt, die Schutzmaßnahmen für die Designfehler des Protokolls umsetzen und die zahlreiche Implementierungsfehler beheben. Zu den Patches heißt es außerdem, dass künftig möglicherweise weitere Treiber sowie vor allem deren Firmware durch den Hersteller aktualisiert werden muss. Bei Intel sei Letzteres bereits geschehen, ohne direkt die Sicherheitslücken zu referenzieren.

Auch Microsoft habe Anfang März bereits einige der beschriebenen Lücken in Windows behoben, ohne dies explizit anzugeben. Dies sei geschehen, weil der ursprüngliche Veröffentlichungstermin der Fragattacks zu dieser Zeit vorgesehen war. Auf Bitten von unter anderem der Wi-Fi-Alliance sei der Termin aber verschoben worden. Hersteller wie Microsoft haben die Lücken dann trotzdem bereits geschlossen.

Test und Werkzeuge für Fragattacks stehen bereit

Vanhoef hat zusätzlich zu seiner wissenschaftlichen Ausarbeitung (PDF) auch eine Kurzzusammenfassung der Lücken (PDF) erstellt. Ebenso steht ein Vortragsvideo der Usenix-Konferenz bereit, in dem Vanhoef die Lücken erklärt.

Auf Github hat der Forscher außerdem Werkzeuge bereitgestellt, um die Verwundbarkeit eigener Geräte zu überprüfen. Da dafür auch Kernel-Treiber gepatcht werden müssen, stehen die Werkzeuge mit vorbereiteten Patches als Live-Abbild bereit. Ebenso wird darauf hingewiesen, dass sich die Werkzeuge und Tests nur mit einigen bestimmten WLAN-Karten umsetzen lassen, die für die Nutzung zwingende Voraussetzung sind.