Viele WLAN-Geräte erhalten kein Sicherheits-Update

Der belgische Sicherheitsforscher Mathy Vanhoef, der die gravierende Sicherheitslücke KRACK in verschlüsselten WLAN-Netzwerken entdeckt hat, geht davon aus, dass etliche betroffene Geräte niemals ein Update bekommen werden. «Da bin ich mir ziemlich sicher. Und das ist in der Tat ein Problem», sagte der Informatiker im Podcast Tech News Weekly. Er forderte die Besitzer dieser fehlerhaften Geräte auf, sich bei den Herstellern zu melden und Sicherheits-Updates einzufordern. «Wenn viele User sich beschweren, tut sich vielleicht etwas. Insbesondere Smartphones mit dem Betriebssystem Android werden von etlichen Herstellern schon nach wenigen Jahren nicht mehr mit Updates versorgt.»

Mit der KRACK getauften Attacke können Angreifer die WLAN-Verschlüsselung WPA2 aufbrechen und damit den Datenverkehr in einem WLAN belauschen und manipulieren.

Vanhoef kündigte ein Tool an, mit dem man überprüfen kann, ob das eigene Smartphone von der Sicherheitslücke betroffen ist oder der Fehler bereits durch ein Update der System-Software geschlossen wurde. Wenn die Lücke noch klafft, sollten die Anwender beim Surfen im Web darauf achten, dass die Verbindung über HTTPS hergestellt werde. Dann werden alle Daten ordentlich geschützt. Er suche mit seinen Kollegen aber auch noch nach Wegen, die möglichen Auswirkungen einer KRACK-Attacke zu vermindern, sagte Vanhoef. Dabei gehe es um den Schutz von Geräten, die nicht mit einem Update versorgt werden. Daran werde allerdings noch gearbeitet.

In dem Podcast wies der belgische Forscher darauf hin, dass Angreifer eine Attacke auch aus grösserer Entfernung ausüben könnten: Man muss sich zwar in der Reichweite des Netzwerks aufhalten. Es gibt allerdings Spezialantennen, mit denen man sich aus grösserer Entfernung mit einem Wi-Fi-Netzwerk verbinden kann. Damit wäre es möglich, die Attacke auch aus einer Distanz von zwei oder sogar drei Kilometern zu starten.

Vanhoef sagte, ihm sei nicht bekannt, dass irgendwelche Hacker bereits über Tools verfügen, um die KRACK-Attacke auszuführen. Es könnte aber sein, dass jemand schon so ein Programm geschrieben und noch nicht veröffentlicht habe. Die Programmierung einer Software, mit der man die Attacke ausführen könne, setze einige technische Expertise voraus. Daher könnte es noch einige Zeit dauern, bis so ein Tool programmiert sei. Es bleibe dann aber auch offen, ob so ein Tool dann auch publik werde. Wenn so ein Tool verfügbar wäre, könnten viele Leute eine KRACK-Attacke ausführen.