Das Verschlüsselungsverfahren WPA2 soll in einem WLAN Verbindungen absichern und Dritte aussperren. Bisher galt das Verfahren als unknackbar – Sicherheitsforscher der Katholischen Universität Leuven haben jetzt allerdings gravierende Sicherheitslücken in dem Verschlüsselungsprotokoll entdeckt, die alle Router betrifft. Das „Computer Emergency Response Team (CERT) der USA warnte bereits vor den Folgen des Sicherheitslecks. Hersteller können jedoch offenbar mit einem Update Abhilfe schaffen, erste Anbieter stellen diese auch bereits zur Verfügung.
1. Geräte mit Android 6 oder älter besonders anfällig
2. Updates schaffen Abhilfe
Geräte mit Android 6 oder älter besonders anfällig
Mit der „KRACK“ (Key Reinstallation Attack) getauften Attacke konnten die Sicherheitsforscher die 2004 eingeführte WPA2-Verschlüsselung umgehen und den Datenverkehr belauschen oder sogar manipulieren. Wie die belgischen Sicherheitsspezialisten Mathy Vanhoef und Frank Piessens berichten, entdeckte man einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrfach gesendet werden, wodurch die Verschlüsselung ausgehebelt wird.
WPA2 soll in einem WLAN dafür sorgen, dass sich nur berechtigte Nutzer einloggen und verhindern, dass übertragene Inhalte mitgehört oder manipuliert werden können. Denkbar wäre durch das Leck beispielsweise die Platzierung einer Malware auf einer Webseite. Betroffen sind alle bekannten Betriebssysteme und Geräte wie Windows, Android, Linux oder Apple, besondere Anfälligkeit bescheinigt Vanhoef Android 6 oder älter.
Updates schaffen Abhilfe
Gleichzeitig geben die belgischen Forscher aber auch Entwarnung: Erstens gebe es bisher noch keine Hinweise, dass die von den Forschern entdeckte Sicherheitslücke bereits aktiv von Computerkriminellen ausgenutzt wurde, zweitens drohten keine Attacken über das Internet – der Angreifer müsse sich vielmehr in Reichweite des angegriffenen Netzwerks aufhalten. Hinzu kommt, dass etwa beim Surfen im Internet weitere Verschlüsselungen wie HTTPS greifen. Auch Verbindungen via VPN oder SSH sind sicher.
Betroffene Geräte können von den Herstellern durch ein Update „gepatcht“ werden, so modifizierte Geräte sind dann den Sicherheitsexperten zufolge auch in der Lage, mit ungepatchten Geräten sicher zu kommunizieren. Alle Details zu der aufgedeckten Sicherheitslücke wollen die Forscher am 1. November auf der Sicherheitskonferenz ACM in Dallas bekanntgeben.