Abo
  • Services:

Security: Heartbleed in WLAN-Routern gefunden

Der Heartbleed-Fehler ist offenbar noch in zahlreichen WLAN-Routern vorhanden, genauer im Authentifizierungsprotokoll EAP. Das berichtet der Sicherheitsexperte Luis Grangeia.

Artikel veröffentlicht am ,
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden.
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden. (Bild: EFF)

In einem Proof-of-Concept hat der portugiesische Sicherheitsexperte Luis Grangeia den Beweis erbracht, dass der Heartbleed-Fehler noch in zahlreichen WLAN-Routern vorhanden ist. Denn das Authentifizierungsprotokoll EAP (Extensible Authentication Protocol) nutzt OpenSSL. Router mit älteren Versionen der Verschlüsselungssoftware wären demnach anfällig. Noch ist unklar, wie viele Geräte von dem Fehler betroffen sind.

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. Landeshauptstadt München, München

Grangeia taufte seinen Angriff Cupid. Damit ließe sich aus Routern mit EAP-basierter Authentifizierung etwa der private Schlüssel auslesen. Der über den Heartbleed-Bug auslesbare Speicher könne aber auch Zertifikate oder weitere Zugangsdaten für den Angreifer offenbaren.

Proof-of-Concept

Sowohl EAP-PEAP, EAP-TTLS als auch EAR-TLS nutzen OpenSSL und sind somit anfällig für den Heartbleed-Bug. Mit Cupid lässt sich ermitteln, ob die Authentifizierung eines Routers einer noch unsicheren Version von OpenSSL zugrunde liegt. Dazu muss auf einem Linux-Rechner ein von Grangeia bereitgestellter Patch für die Verifizierungssoftware Wpa-Supplicant und Hostapd angewendet werden. Anschließend lässt sich mit einem Netzwerksniffer wie Wireshark überprüfen, ob etwa Zugangsdaten im Datenverkehr auftauchen.

Grangeia kann nach eigenen Angaben nicht sagen, in wie vielen Router noch Firmware mit unsicheren Versionen von OpenSSL läuft. Seine Forschung zeigt auf, dass der Heartbeat-Bug nicht nur auf Servern im Internet verbreitet war, sondern er auch andere Hardware unsicher machen könnte. Die Authentifizierung über EAP wird beispielsweise auch in Netzwerkdruckern oder VoIP-Telefonen genutzt.



Anzeige
Top-Angebote
  1. (u. a. Overwatch GOTY für 22,29€ und South Park - Der Stab der Wahrheit für 1,99€)
  2. 999€ (Vergleichspreis 1.199€)
  3. 2.499€ (zusätzlich 10% Rabatt mit Prime Student) - Vergleichspreis 2.899€
  4. 629€ (zusätzlich 10% Rabatt mit Prime Student) - Vergleichspreis 750€

red creep 02. Jun 2014

Klar. Deswegen können auch nur teure Produkte gut sein. Der hohe Verkaufspreis...


Folgen Sie uns
       


Adobe Premiere mit Quicksync ausprobiert

Quicksync ist eine überfällige Neuerung für Adobe Premiere. Wir haben die Hardwarebeschleunigung ausprobiert.

Adobe Premiere mit Quicksync ausprobiert Video aufrufen
Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    Jurassic World Evolution im Test: Das Leben findet einen Weg
    Jurassic World Evolution im Test
    Das Leben findet einen Weg

    Ian Malcolm hatte recht: Das Leben wird ausgegraben und gebrütet, es frisst und stirbt oder es bricht aus und macht Jagd auf die Besucher. Nur leider haben die Entwickler von Jurassic World Evolution ein paar kleine Design-Fehler begangen, so wie Henry Wu bei der Dino-DNA.
    Ein Test von Marc Sauter

    1. Vampyr im Test Zwischen Dracula und Doktor
    2. Fe im Test Fuchs im Farbenrausch
    3. Thaumistry: In Charm's Way im Test Text-Adventure der ganz alten Schule

      •  /