Abo
  • Services:

Security: Heartbleed in WLAN-Routern gefunden

Der Heartbleed-Fehler ist offenbar noch in zahlreichen WLAN-Routern vorhanden, genauer im Authentifizierungsprotokoll EAP. Das berichtet der Sicherheitsexperte Luis Grangeia.

Artikel veröffentlicht am ,
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden.
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden. (Bild: EFF)

In einem Proof-of-Concept hat der portugiesische Sicherheitsexperte Luis Grangeia den Beweis erbracht, dass der Heartbleed-Fehler noch in zahlreichen WLAN-Routern vorhanden ist. Denn das Authentifizierungsprotokoll EAP (Extensible Authentication Protocol) nutzt OpenSSL. Router mit älteren Versionen der Verschlüsselungssoftware wären demnach anfällig. Noch ist unklar, wie viele Geräte von dem Fehler betroffen sind.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Grangeia taufte seinen Angriff Cupid. Damit ließe sich aus Routern mit EAP-basierter Authentifizierung etwa der private Schlüssel auslesen. Der über den Heartbleed-Bug auslesbare Speicher könne aber auch Zertifikate oder weitere Zugangsdaten für den Angreifer offenbaren.

Proof-of-Concept

Sowohl EAP-PEAP, EAP-TTLS als auch EAR-TLS nutzen OpenSSL und sind somit anfällig für den Heartbleed-Bug. Mit Cupid lässt sich ermitteln, ob die Authentifizierung eines Routers einer noch unsicheren Version von OpenSSL zugrunde liegt. Dazu muss auf einem Linux-Rechner ein von Grangeia bereitgestellter Patch für die Verifizierungssoftware Wpa-Supplicant und Hostapd angewendet werden. Anschließend lässt sich mit einem Netzwerksniffer wie Wireshark überprüfen, ob etwa Zugangsdaten im Datenverkehr auftauchen.

Grangeia kann nach eigenen Angaben nicht sagen, in wie vielen Router noch Firmware mit unsicheren Versionen von OpenSSL läuft. Seine Forschung zeigt auf, dass der Heartbeat-Bug nicht nur auf Servern im Internet verbreitet war, sondern er auch andere Hardware unsicher machen könnte. Die Authentifizierung über EAP wird beispielsweise auch in Netzwerkdruckern oder VoIP-Telefonen genutzt.



Anzeige
Spiele-Angebote
  1. 39,99€
  2. (-48%) 12,99€

red creep 02. Jun 2014

Klar. Deswegen können auch nur teure Produkte gut sein. Der hohe Verkaufspreis...


Folgen Sie uns
       


Lenovo Thinkpad A485 - Test

Wir testen Lenovos Thinkpad A485, ein Business-Notebook mit AMDs Ryzen. Das 14-Zoll-Gerät hat eine exzellente Tastatur und den sehr nützlichen Trackpoint als Mausersatz, auch die Anschlussvielfalt gefällt uns. Leider ist das Display recht dunkel und es gibt auch gegen Aufpreis kein helleres, zudem könnte die CPU schneller und die Akkulaufzeit länger sein.

Lenovo Thinkpad A485 - Test Video aufrufen
Key-Reseller: Das umstrittene Geschäft mit den günstigen Gaming-Keys
Key-Reseller
Das umstrittene Geschäft mit den günstigen Gaming-Keys

Computerspiele zum Superpreis - ist das legal? Die Geschäftspraktiken von Key-Resellern wie G2A, Gamesrocket und Kinguin waren jahrelang umstritten, mittlerweile scheint die Zeit der Skandale vorbei zu sein. Doch Entwickler und Publisher sind weiterhin kritisch.
Von Benedikt Plass-Fleßenkämper und Sönke Siemens


    IMHO: Valves Ka-Ching mit der Brechstange
    IMHO
    Valves "Ka-Ching" mit der Brechstange

    Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
    Ein IMHO von Michael Wieczorek

    1. Artifact im Test Zusammengewürfelt und potenziell teuer
    2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
    3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
    Gaming-Tastaturen im Test
    Neue Switches für Gamer und Tipper

    Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
    Ein Test von Tobias Költzsch

    1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
    2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
    3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

      •  /