Abo
  • Services:

Security: Heartbleed in WLAN-Routern gefunden

Der Heartbleed-Fehler ist offenbar noch in zahlreichen WLAN-Routern vorhanden, genauer im Authentifizierungsprotokoll EAP. Das berichtet der Sicherheitsexperte Luis Grangeia.

Artikel veröffentlicht am ,
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden.
Der Heartbleed-Bug ist offenbar auch in Routern vorhanden. (Bild: EFF)

In einem Proof-of-Concept hat der portugiesische Sicherheitsexperte Luis Grangeia den Beweis erbracht, dass der Heartbleed-Fehler noch in zahlreichen WLAN-Routern vorhanden ist. Denn das Authentifizierungsprotokoll EAP (Extensible Authentication Protocol) nutzt OpenSSL. Router mit älteren Versionen der Verschlüsselungssoftware wären demnach anfällig. Noch ist unklar, wie viele Geräte von dem Fehler betroffen sind.

Stellenmarkt
  1. Lecos GmbH, Leipzig
  2. Bosch Gruppe, Berlin

Grangeia taufte seinen Angriff Cupid. Damit ließe sich aus Routern mit EAP-basierter Authentifizierung etwa der private Schlüssel auslesen. Der über den Heartbleed-Bug auslesbare Speicher könne aber auch Zertifikate oder weitere Zugangsdaten für den Angreifer offenbaren.

Proof-of-Concept

Sowohl EAP-PEAP, EAP-TTLS als auch EAR-TLS nutzen OpenSSL und sind somit anfällig für den Heartbleed-Bug. Mit Cupid lässt sich ermitteln, ob die Authentifizierung eines Routers einer noch unsicheren Version von OpenSSL zugrunde liegt. Dazu muss auf einem Linux-Rechner ein von Grangeia bereitgestellter Patch für die Verifizierungssoftware Wpa-Supplicant und Hostapd angewendet werden. Anschließend lässt sich mit einem Netzwerksniffer wie Wireshark überprüfen, ob etwa Zugangsdaten im Datenverkehr auftauchen.

Grangeia kann nach eigenen Angaben nicht sagen, in wie vielen Router noch Firmware mit unsicheren Versionen von OpenSSL läuft. Seine Forschung zeigt auf, dass der Heartbeat-Bug nicht nur auf Servern im Internet verbreitet war, sondern er auch andere Hardware unsicher machen könnte. Die Authentifizierung über EAP wird beispielsweise auch in Netzwerkdruckern oder VoIP-Telefonen genutzt.

Zu den Kommentaren springen
Meistgelesen
  1. Turing-Grafikkarte
    Nvidia stellt drei Geforce RTX mit Raytracing-Cores vor
  2. Anno 1800 angespielt
    Von Kartoffelbauern, Großkapitalisten und rosa Delfinen
  3. Openbook
    Open-Source-Alternative zu Facebook versucht es noch einmal
  4. Outdoor Lightstrip
    Philips-Hue-Leuchtstreifen soll Garten und Balkon beleuchten
  5. Soft Skills
    Vom Einzelkämpfer zum Team Leader
Anzeige
Hardware-Angebote
  1. 119,90€
  4. 482,99€ inkl. Versand (aktuell günstigste GTX 1080)
Kommentarübersicht
Re: Und wen wundert das?
red creep 02. Jun 2014

Klar. Deswegen können auch nur teure Produkte gut sein. Der hohe Verkaufspreis...

Folgen Sie uns
       
Smarte Soundbars - Test

Wir haben die beiden ersten smarten Soundbars getestet. Die eine ist von Sonos, die andere von Polk. Sowohl die Beam von Sonos als auch die Command Bar von Polk dienen dazu, den Klang des Fernsehers zu verbessern. Aber sie können auch als normale Lautsprecher verwendet und dank Alexa auch mit der Stimme bedient werden. Zudem lässt sich auf Zuruf ein Fire-TV-Gerät verbinden und mit der Stimme steuern. Allerdings reagieren beide Soundbars dabei zu träge.

Smarte Soundbars - Test Video aufrufen
AMD Zen
32-Kern-CPU: Threadripper 2990WX läuft mit Radeons besser
32-Kern-CPU
Threadripper 2990WX läuft mit Radeons besser

Auch wenn AMDs neuer Threadripper 2990WX mit 32 CPU-Kernen sich definitiv nicht primär an Spieler richtet, taugt er für Games. Kombiniert mit einer Geforce-Grafikkarte bricht die Bildrate allerdings teils massiv ein, mit einem Radeon-Modell hingegen nur sehr selten.
Ein Bericht von Marc Sauter

  1. Threadripper 2990WX AMDs 32-Kerner kostet weniger als Intels 18-Kerner
  2. Zhongshan Subor Z+ AMD baut SoC mit PS4-Pro-Leistung für chinesische Konsole
  3. Hygon Dhyana China baut CPUs mit AMDs Zen-Technik
IT-Jobs
Computacenter: So gewinnt ein IT-Unternehmen Mitarbeiterinnen
Computacenter
So gewinnt ein IT-Unternehmen Mitarbeiterinnen

Frauen hätten weniger Interesse an IT-Berufen als Männer und daran könne man nichts ändern, wird oft behauptet. Der IT-Dienstleister Computacenter hat andere Erfahrungen gemacht.
Ein Interview von Juliane Gringer

  1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
  2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
  3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer
HDR
HDR-Capture im Test: High-End-Streaming von der Couch aus
HDR-Capture im Test
High-End-Streaming von der Couch aus

Was bringen all die schönen neuen Farben auf dem 4K-HDR-TV, wenn man sie nicht speichern kann oder während des Livestreams nicht mehr selber sieht? Avermedia bietet mit den Capture-Karten Live Gamer 4K und Live Gamer Ultra erstmals bezahlbare Lösungen an. PC-Spieler sehen mit ihnen sogar bis zu 240 Bilder pro Sekunde.
Von Michael Wieczorek

  1. DisplayHDR Vesa veröffentlicht erstes Testwerkzeug für HDR-Standard
  2. HDMI 2.0 und Displayport HDR bleibt Handarbeit
  3. Intel Linux bekommt experimentelle HDR-Unterstützung
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /