Bei Android 6 ist es besonders schlimm

Im Beispiel greifen die Forscher ein Android-Smartphone mit Android 6 an. Hier ist der Angriff seiner Darstellung nach "besonders verheerend", weil Android nach der Neuinstallation des Schlüssels auf einen leeren Verschlüsselungskey zurückfällt, anstatt den eigentlichen Session-Key zu benutzen. Aus diesem Grund sei es möglich, auch Inhalte der Verbindung zu manipulieren. Im Beispiel wird die Datingseite Match.com aufgerufen und per SSL-Strip die eigentlich vorhandene TLS-Verschlüsselung entfernt. Danach lassen sich eingegebene Daten per Wireshark auslesen.

Stellenmarkt
  1. Senior Service Manager ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. Java Entwickler (m/w/d)
    ilum:e informatik ag, Mainz
Detailsuche

Der Autor des Papiers gibt an, dass viele Nutzer das nicht merken würden. Moderne Browser warnen allerdings mittlerweile vor der Eingabe von Zugangsdaten in unverschlüsselte Eingabefelder.

Als Schutz vor entsprechenden Angriffen schlägt Vanhoef vor, im Handshake festzuschreiben, dass jeder Schlüssel nur einmal installiert wird.

Updates für Linux werden verteilt

Für Linux-Nutzer stehen Patches für die Standard-WLAN-Implementierung, wpa_supplicant, bereit, die die beschriebenen Probleme beheben sollen. Auf der Webseite der Entwickler heißt es dazu, dass sämtliche Versionen der Software in der ein oder anderen Art und Weise von dem Fehler betroffen seien. Das betrifft die in den meisten Linux-Distributionen genutzten Version 2.3, 2.4, 2.5 und 2.6 und wahrscheinlich auch ältere Versionen.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Verschiedene Linux-Distributoren haben die Patches für wpa_supplicant inzwischen verteilt oder bereiten dies vor. Dazu gehören Debian, Suse, und Red Hat. Für Ubuntu stehen die Informationen noch nicht öffentlich bereit, es ist aber davon auszugehen, dass die Patches hier ebenfalls schnell verteilt werden.

Update-Lotterie unter Android

Wie erwähnt ist auch Android von den Sicherheitslücken betroffen, da auch das auf Linux basierenden Mobilbetriebssystem von Google wpa_supplicant nutzt. Das Problem und die möglichen Angriffe sind damit die gleichen wie bei den anderen Linux-Distributionen auch, nur sind die Updates unter Android nicht einfach durch Nutzer einspielbar.

Die vergangenen Jahre haben zudem gezeigt, dass die meisten Android-Geräte nur selten Updates für derart tief im System steckende Fehler erhalten. Vermutlich sollten aber aktuell noch unterstützte Geräte namhafter Hersteller mit dem nächsten Systemupdate die entsprechenden Patches erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Krack: WPA2 ist kaputt, aber nicht gebrochenWindows, Apple und fast alle Access Points betroffen 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Truster 23. Okt 2017

Keine Ahnung, ich mach's einfach. Ich bin aber auch kein Großer Spieler. Mein letztes...

Anonymer Nutzer 19. Okt 2017

Na ja, komplett fehlt der Service nicht - aber besonders lange gibt es die Firmware...

Isodome 18. Okt 2017

Zur eigenen Fritzbox ist ein VPN natürlich sicher. Aber was dann? A) du willst auf dein...

bombinho 18. Okt 2017

Ja, aber ... - wann hast Du zuletzt geschaut? - welches ist das Richtige? - der Client...

bombinho 18. Okt 2017

Die meisten Hersteller haben ihre Patches fuer Mitte November angekuendigt.



Aktuell auf der Startseite von Golem.de
Web3
Egal, irgendwas mit Blockchain

Im Buzzword-Bingo gibt es einen neuen Favoriten: Web3. Basierend auf Blockchain und Kryptotokens soll es endlich die Erwartungen an diese Techniken erfüllen.
Eine Analyse von Boris Mayer

Web3: Egal, irgendwas mit Blockchain
Artikel
  1. Western Digital: WD schließt kritische Lücken auf externen Laufwerken
    Western Digital
    WD schließt kritische Lücken auf externen Laufwerken

    Das My Cloud OS 3 auf älteren externen HDDs und Laufwerken ist unsicher. Western Digital schließt zumindest vier Sicherheitslücken.

  2. Rocket 1: 3D-Druck vom Kopf auf die Füße gestellt
    Rocket 1
    3D-Druck vom Kopf auf die Füße gestellt

    Eine der interessantesten Crowdfunding-Kampagnen für 3D-Drucker seit Jahren lässt einige wichtige Fragen offen.
    Von Elias Dinter

  3. Bonanza Mine (BZM2): Intel hat ersten Kunden für eigenen Bitcoin-Chip
    Bonanza Mine (BZM2)
    Intel hat ersten Kunden für eigenen Bitcoin-Chip

    Mit dem Bonanza Mine entwickelt Intel ein eigenes Bitcoin-ASIC, was besonders effizient beim Schürfen der Kryptowährung sein soll.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /