Bei Android 6 ist es besonders schlimm

Im Beispiel greifen die Forscher ein Android-Smartphone mit Android 6 an. Hier ist der Angriff seiner Darstellung nach "besonders verheerend", weil Android nach der Neuinstallation des Schlüssels auf einen leeren Verschlüsselungskey zurückfällt, anstatt den eigentlichen Session-Key zu benutzen. Aus diesem Grund sei es möglich, auch Inhalte der Verbindung zu manipulieren. Im Beispiel wird die Datingseite Match.com aufgerufen und per SSL-Strip die eigentlich vorhandene TLS-Verschlüsselung entfernt. Danach lassen sich eingegebene Daten per Wireshark auslesen.

Der Autor des Papiers gibt an, dass viele Nutzer das nicht merken würden. Moderne Browser warnen allerdings mittlerweile vor der Eingabe von Zugangsdaten in unverschlüsselte Eingabefelder.

Als Schutz vor entsprechenden Angriffen schlägt Vanhoef vor, im Handshake festzuschreiben, dass jeder Schlüssel nur einmal installiert wird.

Updates für Linux werden verteilt

Für Linux-Nutzer stehen Patches für die Standard-WLAN-Implementierung, wpa_supplicant, bereit, die die beschriebenen Probleme beheben sollen. Auf der Webseite der Entwickler heißt es dazu, dass sämtliche Versionen der Software in der ein oder anderen Art und Weise von dem Fehler betroffen seien. Das betrifft die in den meisten Linux-Distributionen genutzten Version 2.3, 2.4, 2.5 und 2.6 und wahrscheinlich auch ältere Versionen.

Verschiedene Linux-Distributoren haben die Patches für wpa_supplicant inzwischen verteilt oder bereiten dies vor. Dazu gehören Debian, Suse, und Red Hat. Für Ubuntu stehen die Informationen noch nicht öffentlich bereit, es ist aber davon auszugehen, dass die Patches hier ebenfalls schnell verteilt werden.

Update-Lotterie unter Android

Wie erwähnt ist auch Android von den Sicherheitslücken betroffen, da auch das auf Linux basierenden Mobilbetriebssystem von Google wpa_supplicant nutzt. Das Problem und die möglichen Angriffe sind damit die gleichen wie bei den anderen Linux-Distributionen auch, nur sind die Updates unter Android nicht einfach durch Nutzer einspielbar.

Die vergangenen Jahre haben zudem gezeigt, dass die meisten Android-Geräte nur selten Updates für derart tief im System steckende Fehler erhalten. Vermutlich sollten aber aktuell noch unterstützte Geräte namhafter Hersteller mit dem nächsten Systemupdate die entsprechenden Patches erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Krack: WPA2 ist kaputt, aber nicht gebrochenWindows, Apple und fast alle Access Points betroffen 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Truster 23. Okt 2017

Keine Ahnung, ich mach's einfach. Ich bin aber auch kein Großer Spieler. Mein letztes...

Anonymer Nutzer 19. Okt 2017

Na ja, komplett fehlt der Service nicht - aber besonders lange gibt es die Firmware...

Isodome 18. Okt 2017

Zur eigenen Fritzbox ist ein VPN natürlich sicher. Aber was dann? A) du willst auf dein...

bombinho 18. Okt 2017

Ja, aber ... - wann hast Du zuletzt geschaut? - welches ist das Richtige? - der Client...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Palantir für die militärische Zielauswahl verantwortlich

Das US-Unternehmen Palantir ist mit Software am Kriegsgeschehen in der Ukraine beteiligt. Auch die hiesige Polizei setzt Software des Unternehmens ein.

Ukrainekrieg: Palantir für die militärische Zielauswahl verantwortlich
Artikel
  1. Streaming: Netflix streicht Funktion aus drei Abomodellen
    Streaming
    Netflix streicht Funktion aus drei Abomodellen

    Künftig gibt es 3D-Raumklang alias Spatial Audio nur noch im teuersten Netflix-Abo. Wirbel entfacht eine Filmveröffentlichung in Japan.

  2. Grüner Wasserstoff: Neues Verfahren erzeugt Wasserstoff aus Salzwasser
    Grüner Wasserstoff
    Neues Verfahren erzeugt Wasserstoff aus Salzwasser

    Wo es Sonne gibt, um Wasserstoff zu erzeugen, fehlt es oft an Süßwasser. Ein neu entwickelter Elektrolyseur kann das im Überfluss vorhandene Meerwasser verarbeiten.

  3. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G5 Curved 27" WQHD 260,53€ • Graka-Preisrutsch bei Mindfactory • Samsung Galaxy S23 jetzt vorbestellbar • Philips Hue 3x E27 + Hue Bridge -57% • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ • Bis 77% Rabatt auf Fernseher • Roccat Kone Pro -56% [Werbung]
    •  /