Krack: WPA2 ist kaputt, aber nicht gebrochen
Schwachstellen in der Implementierung von WPA2 ermöglichen das Mitlesen verschlüsselter Kommunikation per WLAN - ohne Zugriff auf das Passwort. Linux- und Windows-Nutzer können patchen, Android-User müssen hoffen.

Der Sicherheitsforscher Mathy Vanhoef hat unter dem Namen Krack (Key Re-Use Attack) eine Reihe von Angriffen auf mit WPA2 verschlüsselte WLAN-Netzwerke demonstriert. Dabei hat er nicht die Grundlagen des Protokolls gebrochen, die zentralen Sicherheitsbeweise gelten nach wie vor. Auch wenn praktische Angriffe möglich sind, warnt der Autor selbst vor Panik. Kein Nutzer sollte aufhören WPA2 zu nutzen, auch wenn das Gerät noch nicht gepatcht ist (Paper als PDF).
- Krack: WPA2 ist kaputt, aber nicht gebrochen
- Bei Android 6 ist es besonders schlimm
- Windows, Apple und fast alle Access Points betroffen
Vanhoef nutzt unter anderem eine laxe Festlegung des 4-Wege-Handshakes in der Implementierung von 802.11i bei der Initialisierung einer WLAN-Verbindung, um Nutzer in eine von ihm kontrollierte Instanz des WLANs zu zwingen. Beim vorgeschriebenen 4-Wege-Handshake wird eine Authentifizierung auf Basis des Pairwise Master Key (PMK) vorgenommen und ein neuer Session-Key mit dem Namen Pairwise Transient Key (PTK) ausgehandelt. Der PMK wird entweder durch ein vorab im Netzwerk geteiltes Passwort oder in 802.1x-Netzwerken durch ein Zertifikat abgeleitet.
Der Angriff funktioniert nach Angaben der Forscher gegen das nicht mehr genutzte WPA1 und WPA2 mit den Cipher-Suites WPA-TKIP, AES-CCMP und das im kommenden Wigig-Standard (802.11ad) genutzte GCMP (Galois/Counter Mode Protokol).
Im dritten Schritt des Handshakes wird der ausgehandelte Key auf dem Client installiert. Weil dies wegen Fehlern in der Verbindung fehlschlagen kann, unterstützt das Protokoll aber eine Wiederholung dieses Schritts. Das Protokoll sieht allerdings nicht vor, die erneute Installation eines Schlüssels zu unterbinden, wenn diese bereits einmal erfolgreich durchgeführt wurde.
Bei dem von den Forschern demonstrierten Replay-Angriff wird dieser Schlüssel dem Client erneut vorgespielt und installiert, zeitgleich werden die Transmit Packet Number (eine Nonce) und der Receive-Replay-Counter ebenfalls zurückgesetzt. So ist es Angreifern möglich, den eigentlich verschlüsselten Traffic mitzulesen.
Für den Angriff klonen sie in einem Beispiel eine SSID und setzen auf einem anderen Kanal ein eigenes WLAN mit gleichem Namen auf. Nutzer werden fortan in dieses Netzwerk gezwungen, der bereits einmal installierte Session-Key des eigentlichen WLANs wird auf dem Client erneut installiert und dient fortan zur Verschlüsselung der ausgetauschten Daten. So ist es möglich, Inhalte der Verbindung mitzulesen, ohne aber das Passwort selbst auszulesen oder die gesamte Infrastruktur zu kompromitieren.
Ähnliche Angriffen können auch gegen den Fast BSS-Transition-Handshake (FT) und den Group Key Handshake durchgeführt werden. Auch die erneute Installation eines Schlüssels auf einem Access Point ist grundsätzlich möglich.
Prinzipiell sind die beschriebenen Lücken auf allen Betriebssystem vorhanden und betreffen - wie erwähnt - sowohl Clients als auch die Access Points. Die Möglichkeiten zum Update für Nutzer und Admins sind hier aber sehr unterschiedlich.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Bei Android 6 ist es besonders schlimm |
Keine Ahnung, ich mach's einfach. Ich bin aber auch kein Großer Spieler. Mein letztes...
Na ja, komplett fehlt der Service nicht - aber besonders lange gibt es die Firmware...
Zur eigenen Fritzbox ist ein VPN natürlich sicher. Aber was dann? A) du willst auf dein...
Ja, aber ... - wann hast Du zuletzt geschaut? - welches ist das Richtige? - der Client...