Abo
  • Services:
Anzeige
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden.
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden. (Bild: EFF)

Security: Heartbleed in WLAN-Routern gefunden

Der Heartbleed-Fehler ist offenbar noch in zahlreichen WLAN-Routern vorhanden, genauer im Authentifizierungsprotokoll EAP. Das berichtet der Sicherheitsexperte Luis Grangeia.

Anzeige

In einem Proof-of-Concept hat der portugiesische Sicherheitsexperte Luis Grangeia den Beweis erbracht, dass der Heartbleed-Fehler noch in zahlreichen WLAN-Routern vorhanden ist. Denn das Authentifizierungsprotokoll EAP (Extensible Authentication Protocol) nutzt OpenSSL. Router mit älteren Versionen der Verschlüsselungssoftware wären demnach anfällig. Noch ist unklar, wie viele Geräte von dem Fehler betroffen sind.

Grangeia taufte seinen Angriff Cupid. Damit ließe sich aus Routern mit EAP-basierter Authentifizierung etwa der private Schlüssel auslesen. Der über den Heartbleed-Bug auslesbare Speicher könne aber auch Zertifikate oder weitere Zugangsdaten für den Angreifer offenbaren.

Proof-of-Concept

Sowohl EAP-PEAP, EAP-TTLS als auch EAR-TLS nutzen OpenSSL und sind somit anfällig für den Heartbleed-Bug. Mit Cupid lässt sich ermitteln, ob die Authentifizierung eines Routers einer noch unsicheren Version von OpenSSL zugrunde liegt. Dazu muss auf einem Linux-Rechner ein von Grangeia bereitgestellter Patch für die Verifizierungssoftware Wpa-Supplicant und Hostapd angewendet werden. Anschließend lässt sich mit einem Netzwerksniffer wie Wireshark überprüfen, ob etwa Zugangsdaten im Datenverkehr auftauchen.

Grangeia kann nach eigenen Angaben nicht sagen, in wie vielen Router noch Firmware mit unsicheren Versionen von OpenSSL läuft. Seine Forschung zeigt auf, dass der Heartbeat-Bug nicht nur auf Servern im Internet verbreitet war, sondern er auch andere Hardware unsicher machen könnte. Die Authentifizierung über EAP wird beispielsweise auch in Netzwerkdruckern oder VoIP-Telefonen genutzt.


eye home zur Startseite
red creep 02. Jun 2014

Klar. Deswegen können auch nur teure Produkte gut sein. Der hohe Verkaufspreis...



Anzeige

Stellenmarkt
  1. Technische Hochschule Nürnberg Georg Simon Ohm, Nürnberg
  2. Robert Bosch GmbH, Plochingen
  3. Fresenius Kabi Deutschland GmbH, Oberursel
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Hardware-Angebote
  1. 117,00€
  2. 274,90€ + 3,99€ Versand
  3. 184,90€ + 3,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Nvidia "KI wird die Computergrafik revolutionieren"
  2. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive
  3. Nintendo Switch erscheint am 3. März

NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

  1. Re: Philosophisch falsch :)

    MKar | 05:09

  2. Re: Titel?

    __destruct() | 04:40

  3. Re: Ich finde das ausnahmsweise gut

    picaschaf | 04:29

  4. 10 Minuten E-Mail über VPN :)

    Techn | 04:26

  5. Re: Inbesondere Verweis auf Teil 7 TKG interessant...

    justjanne | 03:11


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel