KRACK (WLAN Schwachstelle) - so funktioniert der Angriff auf WPA2

  • Bei heise ist der Angriff "KRACK" ganz gut erklärt:
    https://www.heise.de/security/…iff-auf-WPA2-3865019.html


    Wichtig zu wissen bei dieser "Schwachstelle" ist, dass nicht der Router/Access-Point betroffen ist.
    Sondern jeder Client, sprich eure Android Handy etc. müssen ein Update erhalten, anderen Falls kann der WLAN Traffic immer mit genitten werden.
    Wie dieses bei den WNC Geräte, welche hier auch immer wieder erwähnt werden ist. Kann nur Neatgear sagen.

  • Router sind ggf. auch betroffen, wenn sie als Client (Mesh, Bridge, ...) laufen oder 802.11r unterstützen.
    Zweiteres ist aber im Consumerbereich eher nicht üblich.

    Grüße
    ...jp


    DM900 / OE2.5 Experimental ... und sehr glücklich damit :)

  • juanito_perez yep korrekt, da er in diesem Fall ja ein Client ist.


    Es ist ja dieses mal auch kein direkter Software Fehler sondern ein Fehler in der Definition von WPA2

  • Bei Fritzboxen mit eingerichteten Mac-Filter geht es nicht. Ihr seid sicher.


    Grüße Udo

    1,2 m Schotel Technisat
    Jaeger SMR 1224 EL 36V Reed Motor
    Superjack DP-6600

  • Cocky
    das würde ich so nicht sagen, da der Filter im Router ist, und nicht im Client...
    Und ja die Verbindung zum Client <-> Router abgefangen wird... und die Mac Adresse sieht man ja auch ohne dass man ins Netzwerk muss

  • Ja, als Access Point, da weder 802.11s noch 802.11r verwendet werden.


    Als Client sieht das schon ganz anders aus:


    https://avm.de/service/aktuelle-sicherheitshinweise/


    Für den 1260E gibt es auch schon das erste Update:
    https://download.avm.de/fritz.…ne_1260E/deutsch/info.txt


    //Edit: und auch für den 1750E gibt es das Update:
    https://download.avm.de/fritz.…firmware/deutsch/info.txt

  • Wenn die Datenübertragung gesichert also per https, sftp etc. erfolgt, kann der Angreifer
    trotzdem nicht mitlesen.

  • Nur ist die https-Verbreitung, abgesehen von Banken und größeren Seiten, auch nicht wirklich gegeben, vor allem nicht in der HSTS-Variante. Und die meisten Normal-Nutzer achten auch nicht drauf, ob da jetzt ein Schloss in der Leiste ist oder nicht. (Bei ssh sieht es auch nicht besser aus, siehe das Rumgeheule überall, dass Apple Telnet aus macOS 10.13 rausgeworfen hat).


    Das, gepaart mit der immer noch gern stattfindenden Mehrfach-Nutzung von Zugangsdaten, da geht dann schon hier und da was.



    Ich kann die Hysterie, die am Anfang um KRACK gemacht wurde, nicht nachvollziehen.
    Aber eine nicht unerhebliche Lücke ist es trotzdem erstmal (und wird es für viele ältere Geräte leider auch bleiben)!

  • Die Lücke wird wohl bei 99% der Android Geräte für immer bleiben, nachdem ja Google so eine schwache update Infrastruktur auf den Weltmarkt gebracht hat.
    Geht doch nix über ein Kabel :winking_face:

  • Zitat

    Original von cmikula
    [...]nachdem ja Google so eine schwache update Infrastruktur auf den Weltmarkt gebracht hat.


    also unter Update verstehe ich was anderes xD bei Android hat es den namen nicht verdient xD

  • Google bringt eigentlich schon regelmäßig Sicherheitsupdates für Android.
    Das Problem sind eher die Hersteller, die die Updates nicht verarbeiten und ROMs haben, die die Updates nicht von Google beziehen können.

    Grüße
    ...jp


    DM900 / OE2.5 Experimental ... und sehr glücklich damit :)

  • Zitat

    Original von Gunah
    Cocky
    das würde ich so nicht sagen, da der Filter im Router ist, und nicht im Client...
    Und ja die Verbindung zum Client <-> Router abgefangen wird... und die Mac Adresse sieht man ja auch ohne dass man ins Netzwerk muss



    Doch , das ist zu. Du kommst doch gar nicht rein, wenn Du auf "WLAN-Zugang auf die bekannten WLAN-Geräte beschränken" gehst.


    Grüße Udo

    1,2 m Schotel Technisat
    Jaeger SMR 1224 EL 36V Reed Motor
    Superjack DP-6600

    Einmal editiert, zuletzt von Cocky ()

  • Was soll da zu sein? Die MAC-Adressen sind bei WiFi nicht verschlüsselt, jeder der in die Luft hört, kann die von Client und AP feststellen. Wenn jemand KRACK ausnutzen möchte, dann weiß er auch, wie man eine MAC spooft. :face_with_rolling_eyes:

  • Zitat

    Original von TSMusik
    Was soll da zu sein? Die MAC-Adressen sind bei WiFi nicht verschlüsselt, jeder der in die Luft hört, kann die von Client und AP feststellen. Wenn jemand KRACK ausnutzen möchte, dann weiß er auch, wie man eine MAC spooft. :face_with_rolling_eyes:


    Wenn Du ne Fritz Box hättest, wüsstest Du wovon ich schreibe.


    Grüße Udo

    1,2 m Schotel Technisat
    Jaeger SMR 1224 EL 36V Reed Motor
    Superjack DP-6600

    Einmal editiert, zuletzt von Cocky ()

  • Hab ich, schon einige über die Jahre sogar.


    Aber nochmal: Das Einschränken von erlaubten MAC-Adresse ist genauso wie das Verstecken der SSID nur gegenüber Nachbarn nützlich, die meinen, sie müssten bei allen sichtbaren WLANs mal Passwörter durchprobieren. Jemand der Ahnung hat lacht da nichtmal drüber, so witzlos ist das.


    Und für KRACK ist das eh komplett irrelevant, da es dabei um das Abhören und ggf. Verändern einer konkreten Verbindung zwischen einem AP und einem Client geht und nicht um das Einsteigen in den AP.

  • Gut, dann belassen wir es dabei, dann hast Du mehr Ahnung als die Leute von AVM in Berlin.


    Grüße Udo

    1,2 m Schotel Technisat
    Jaeger SMR 1224 EL 36V Reed Motor
    Superjack DP-6600

  • Hallo,


    Hmm, da liebe ich mein Manjaro Linux....


    Hatte Tagsüber im Radio von dieser Sicherheitslücke gehört, und Abends am Rechner gab es schon ein Update für das W-Lan, wobei ich da ja nicht mal das Wlan nutze :tongue:


    Naja fürs Handy Moto-G4 werde ich ja sehen wann es da was kommt, denke aber nicht vor Dezember bzw. Januar :face_with_rolling_eyes:


    Da bekomme ich ja nur ca. Quartalsweise Sicherheitsupdates ....
    Und das Letzte gab es ja erst im September :face_with_rolling_eyes:

    MfG EgLe :]

    Linux will Benutzer, die Linux wollen. Linux ist nicht Windows


    Kernel : 5.4.2-1-MANJARO LTS
    GUI : KDE 5.64.0 / Plasma 5.17.4
    Machine : Intel NUC8i7HVK
    Graphics : Radeon RX Vega M GH
    CPU : Intel Core i7-8809G @ 8x 4.2GHz
    RAM : Gskill F4-3000C16S-16GRS Speicherkarte so D4 3000 16GB C16 Rip

    2 Mal editiert, zuletzt von EgLe ()