• IT-Karriere:
  • Services:

Bei Android 6 ist es besonders schlimm

Im Beispiel greifen die Forscher ein Android-Smartphone mit Android 6 an. Hier ist der Angriff seiner Darstellung nach "besonders verheerend", weil Android nach der Neuinstallation des Schlüssels auf einen leeren Verschlüsselungskey zurückfällt, anstatt den eigentlichen Session-Key zu benutzen. Aus diesem Grund sei es möglich, auch Inhalte der Verbindung zu manipulieren. Im Beispiel wird die Datingseite Match.com aufgerufen und per SSL-Strip die eigentlich vorhandene TLS-Verschlüsselung entfernt. Danach lassen sich eingegebene Daten per Wireshark auslesen.

Stellenmarkt
  1. Auswärtiges Amt, Bonn, Berlin
  2. VIVAVIS AG, Koblenz

Der Autor des Papiers gibt an, dass viele Nutzer das nicht merken würden. Moderne Browser warnen allerdings mittlerweile vor der Eingabe von Zugangsdaten in unverschlüsselte Eingabefelder.

Als Schutz vor entsprechenden Angriffen schlägt Vanhoef vor, im Handshake festzuschreiben, dass jeder Schlüssel nur einmal installiert wird.

Updates für Linux werden verteilt

Für Linux-Nutzer stehen Patches für die Standard-WLAN-Implementierung, wpa_supplicant, bereit, die die beschriebenen Probleme beheben sollen. Auf der Webseite der Entwickler heißt es dazu, dass sämtliche Versionen der Software in der ein oder anderen Art und Weise von dem Fehler betroffen seien. Das betrifft die in den meisten Linux-Distributionen genutzten Version 2.3, 2.4, 2.5 und 2.6 und wahrscheinlich auch ältere Versionen.

Verschiedene Linux-Distributoren haben die Patches für wpa_supplicant inzwischen verteilt oder bereiten dies vor. Dazu gehören Debian, Suse, und Red Hat. Für Ubuntu stehen die Informationen noch nicht öffentlich bereit, es ist aber davon auszugehen, dass die Patches hier ebenfalls schnell verteilt werden.

Update-Lotterie unter Android

Wie erwähnt ist auch Android von den Sicherheitslücken betroffen, da auch das auf Linux basierenden Mobilbetriebssystem von Google wpa_supplicant nutzt. Das Problem und die möglichen Angriffe sind damit die gleichen wie bei den anderen Linux-Distributionen auch, nur sind die Updates unter Android nicht einfach durch Nutzer einspielbar.

Die vergangenen Jahre haben zudem gezeigt, dass die meisten Android-Geräte nur selten Updates für derart tief im System steckende Fehler erhalten. Vermutlich sollten aber aktuell noch unterstützte Geräte namhafter Hersteller mit dem nächsten Systemupdate die entsprechenden Patches erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Krack: WPA2 ist kaputt, aber nicht gebrochenWindows, Apple und fast alle Access Points betroffen 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Openreach
    Alter Fernseher stört ADSL für ein ganzes Dorf
  2. Project Natick
    Microsoft birgt Unterwasser-Rechenzentrum vom Meeresboden
  3. Thinkpad T14s (AMD) im Test
    Lenovos kleines Schwarzes kann noch immer überzeugen
  4. Datenbank geleakt
    Chinesische Firma erstellt Profile von Millionen Ausländern
  5. Microsoft
    Der neue Xbox-Controller und die PC-Optionen
Anzeige
Spiele-Angebote
  2. 12,99€
  3. 9,99€
  4. 20,49€
Kommentarübersicht
Re: Und deswegen kauft man ein Nexus/Pixel oder...
Truster 23. Okt 2017

Keine Ahnung, ich mach's einfach. Ich bin aber auch kein Großer Spieler. Mein letztes...

Re: TP-Link Einschätzung
Anonymer Nutzer 19. Okt 2017

Na ja, komplett fehlt der Service nicht - aber besonders lange gibt es die Firmware...

Re: VPN, VPN, VPN
Isodome 18. Okt 2017

Zur eigenen Fritzbox ist ein VPN natürlich sicher. Aber was dann? A) du willst auf dein...

Re: woran erkennt man ein gefälschtes wlan
bombinho 18. Okt 2017

Ja, aber ... - wann hast Du zuletzt geschaut? - welches ist das Richtige? - der Client...

Re: Netgear hat gestern bereits gepatched
bombinho 18. Okt 2017

Die meisten Hersteller haben ihre Patches fuer Mitte November angekuendigt.

Folgen Sie uns
       
Verkehrswende
Verkehrswende: Zaubertechnologie statt Citybahn
Verkehrswende
Zaubertechnologie statt Citybahn

In Wiesbaden wird um den Bau einer Straßenbahn gestritten, eine Bürgerinitiative kämpft mit sehr kuriosen Argumenten dagegen.
Eine Recherche von Hanno Böck

  1. Fernbus Roadjet mit zwei WLANs und Maskenerkennung gegen Flixbus
  2. Mobilität Wie sinnvoll sind synthetische Kraftstoffe?
Apple
iPhone, iPad und Co.: Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7
iPhone, iPad und Co.
Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7

Auch ohne neue iPhones lässt es sich Apple nicht nehmen, seine neue iOS-Version 14 zu veröffentlichen. Auch andere Systeme erhalten Upgrades.

  1. Apple Pay EU will Apple zur Freigabe von NFC-Chip bringen
  2. Apple One Abos der verschiedenen Apple-Dienste im Paket
  3. Corona Apple hat eigenen Mund-Nasen-Schutz entwickelt
Golem.de
Stellenanzeige: Golem.de sucht CvD (m/w/d)
Stellenanzeige
Golem.de sucht CvD (m/w/d)

Du bist News-Junkie, Techie, Organisationstalent und brennst für den Onlinejournalismus? Dann unterstütze die Redaktion von Golem.de als CvD.

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Shifoo Golem.de startet Betatest seiner Karriere-Coaching-Plattform
  3. In eigener Sache Die 24-kernige Golem Workstation ist da
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /