Auswirkungen schwer abschätzbar

Zwar beschreibt Vanhoef die Designfehler selbst wie erwähnt als schwer ausnutzbar. Die Implementierungsfehler in einzelnen Geräten machen es jedoch oft sehr leicht, diese auszunutzen. Insgesamt habe der Forscher etwa 75 WLAN-Geräte- und Plattformkombinationen getestet und diese waren immer verwundbar. Ob aber tatsächlich alle WLAN-Geräte weltweit verwundbar sind oder nicht, vermag Vanhoef nicht zu sagen. Er freue sich über Meldungen von Geräten, die nicht angreifbar seien.

Stellenmarkt
  1. Product Manager (m/w/d) - UI/UX
    Bolinda Labs GmbH, Darmstadt
  2. Mitarbeiter/in (m/w/d) für die Unix-Gruppe
    Johannes Gutenberg-Universität Mainz, Mainz
Detailsuche

Darüber hinaus verweist Vanhoef darauf, dass zumindest die Nutzung von HTTPS-Verbindungen das Ausleiten von Daten verhindert. Die Angriffe haben hier demnach vergleichsweise wenig praktische Relevanz. Für den Fall, dass etwa Geräte direkt angegriffen werden, um beispielsweise NAT oder Firewall zu umgehen, helfen letztlich nur Updates. Insbesondere IoT-Geräte würden aber nur selten entsprechend gepflegt. Auch von verschiedenen Herstellern nicht mehr gepflegte WLAN-Produkte wie Access Points, Router oder auch WLAN-Karten könnten bei Updates außen vor bleiben, Nutzer sind hier von den Herstellern abhängig.

Die Linux-Kernel-Entwickler haben bereits gemeinsam mit Vanhoef Patches erstellt, die Schutzmaßnahmen für die Designfehler des Protokolls umsetzen und die zahlreiche Implementierungsfehler beheben. Zu den Patches heißt es außerdem, dass künftig möglicherweise weitere Treiber sowie vor allem deren Firmware durch den Hersteller aktualisiert werden muss. Bei Intel sei Letzteres bereits geschehen, ohne direkt die Sicherheitslücken zu referenzieren.

Auch Microsoft habe Anfang März bereits einige der beschriebenen Lücken in Windows behoben, ohne dies explizit anzugeben. Dies sei geschehen, weil der ursprüngliche Veröffentlichungstermin der Fragattacks zu dieser Zeit vorgesehen war. Auf Bitten von unter anderem der Wi-Fi-Alliance sei der Termin aber verschoben worden. Hersteller wie Microsoft haben die Lücken dann trotzdem bereits geschlossen.

Test und Werkzeuge für Fragattacks stehen bereit

Golem Akademie
  1. Masterclass Data Science mit Pandas & Python: virtueller Zwei-Tage-Workshop
    29./30.09.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
Weitere IT-Trainings

Vanhoef hat zusätzlich zu seiner wissenschaftlichen Ausarbeitung (PDF) auch eine Kurzzusammenfassung der Lücken (PDF) erstellt. Ebenso steht ein Vortragsvideo der Usenix-Konferenz bereit, in dem Vanhoef die Lücken erklärt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auf Github hat der Forscher außerdem Werkzeuge bereitgestellt, um die Verwundbarkeit eigener Geräte zu überprüfen. Da dafür auch Kernel-Treiber gepatcht werden müssen, stehen die Werkzeuge mit vorbereiteten Patches als Live-Abbild bereit. Ebenso wird darauf hingewiesen, dass sich die Werkzeuge und Tests nur mit einigen bestimmten WLAN-Karten umsetzen lassen, die für die Nutzung zwingende Voraussetzung sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Fragattacks: Designfehler in WLAN machen Mehrheit der Geräte angreifbar
  1.  
  2. 1
  3. 2


M4n4g3r 13. Mai 2021

Das ist eben genau der Designfehler. Fragmentierte Frames sind unverschlüsselt

Berlinlowa 12. Mai 2021

man kann die Folgen des Angriffs abmildern, indem man folgende Dinge durchführt: 1. am...



Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

  3. Ericsson und Telia Norway: Fast 4 GBit/s in 26-GHz-Netz erreicht
    Ericsson und Telia Norway
    Fast 4 GBit/s in 26-GHz-Netz erreicht

    26-GHz-Netz-Antennen erreichen in Norwegen Höchstwerte bei der Datenübertragung. Die 5G-Ausrüstung kommt von Ericsson.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /