WLAN-Sicherheitslücke
KRACK: Updates für iOS und macOS stehen aus, Windows bereits gefixt
Die gestern bekannt gewordene WLAN-Sicherheitslücke KRACK betrifft alle drahtlos im Netzwerk agierenden Endgeräte, egal ob sie wie etwa Router zur Infrastruktur zählen oder als Client in Form eines Computers oder Mobilgeräts darauf zugreifen. Dementsprechend wichtig ist es, dass ihr die Software eures Geräteparks auf aktuellen Stand bringt – vorausgesetzt natürlich die Hersteller haben bereits entsprechende Updates veröffentlicht.
Von Apple liegt bislang kein offizielles Statement vor. Unter der Hand hat das Unternehmen offenbar mitgeteilt, dass der Fehler zwar in den letzten Beta-Versionen der Betriebssysteme iOS, macOS, watchOS und tvOS bereits behoben sei, die finale Freigabe steht allerdings noch aus. Spannend ist zudem die Frage, ob und wann Apple für die nicht mehr weiterentwickelten Netzwerkprodukte wie Time Capsule oder AirPort-Stationen entsprechende Updates bereitstellt.
Vorbildlich gibt sich dagegen Microsoft. Wie das Unternehmen mitteilt, wurde die Schwachstelle bereits letzte Woche mit den am 10. Oktober veröffentlichten Updates auf allen betroffenen Systemen behoben. Detaillierte Informationen diesbezüglich finden sich hier.
Auch die Hersteller von Netzwerkzubehör sind gefragt, ihren Kunden zeitnah mit Updates beiseite zu stehen. Als einer der ersten Hersteller Ubiquiti als Anbieter der von uns bereits ausführlich vorgestellten WLAN-Systeme UniFi und AmpliFi Updates und ausführliche Informationen bereitgestellt. Andere Unternehmen zeigen sich hier noch abwartend, so teilt der FRITZ!Box -Hersteller AVM mit, dass eine genauere Einschätzung noch nicht möglich sei, man aber „falls notwendig“ ein Update bereitstellen werde.
Wir wiederholen unsere Empfehlung, in den kommenden Tagen vermehrt auf bereitgestellte Updates zu achten bzw. deren Verfügbarkeit zu prüfen.
Das Bundesamt für Sicherheit in der Informationstechnik hat mittlerweile auch eine erweiterte Stellungnahme parat und rät sogar dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.
Die WPA2-Schwachstellen ermöglichen Angreifern das Mitlesen und Manipulieren von Datenpaketen, die über ein WLAN-Netzwerk gesendet oder empfangen werden. Sie betreffen insbesondere Geräte mit Android und Linux-Betriebssystemen. Windows- und Apple-Betriebssysteme sind eingeschränkt betroffen, hier können die Schwachstellen derzeit nicht in vollem Umfang erfolgreich ausgenutzt werden. Um einen Angriff über die WPA2-Schwachstellen durchführen zu können, muss sich der Angreifer zudem im Funkbereich des WLAN-Signals aufhalten. Die Ursache der Schwachstellen sind Designfehler des zugrunde liegenden IEEE-Standards 802.11. Keinesfalls sollten Nutzer den WPA2-Sicherheitsstandard deaktivieren, da ältere verfügbare Sicherheitsstandards als unsicher gelten und dafür keine Patches zu erwarten sind.
Bin gespannt ob mein Panasonic TV ein Update bekommt und auch wann Devolo welche für seine WLAN Powerlines bereitstellt. Leider findet man auf den wenigstens Hersteller-Webseiten Information dazu. Also Kunde hat man da einfach ein ungutes Gefühl.
Ich habe ein HAMA Internetradio und kann dazu auch nichts finden. :-(
ymmd ;D
Man sollte hier bedenken, welche Daten denn z.B. bei einem Internet-Radio mitgelesen werden könnten, und ob diese unbedingt schützenswert sind, ehe man panisch alles ausschaltet oder wegwirft ;-)
Ja Markus. Ich habe ein ähnliches Problem. Ich habe ein Internet Magazin und finde auch nichts darüber. Ebenso wie ich nichts für mein WLAN Kabel finde :-)
Mal schauen ob die AVM Kabelprovider Boxen dann auch mal berücksichtigt werden. Man kommt sich schon abgehängt vor mit einer 6.54er Version (Unitymedia)
ja dem kann ich nur zustimmen.
Man kann auch einfach – oder hätte es schon längst machen sollen, ggf. von Anfang an – einen eigenen Kabel-Router mit Modem kaufen. Ich verstehe das Gejammer nie in den ganzen Foren zu dem Thema. Entweder sind einem Updates wichtig, oder halt nicht. Wenn sie wichtig sind, kauft man sich selbst eine Kabel-Fritzbox. Für mich gabs da gar nichts zu überlegen als ich von klassisch Kupfer-Telefonleitung auf Kabel-Deutschland im April umgestiegen war. Ich habe ausdrücklich nur das Zwangsmodem für die Einrichtung/Wartung genommen und mit im nächsten MM die Kabel-Fritzbox für 160 Euro geholt – einmalige Investition und gut ist.
UM ist nur ein Übergang für mich. Die Telekom wurde leider nicht pünktlich zum Vertragsablauf meines UM-Vertrages mit dem Breitbandausbau bei mir fertig. Die AVM zu kaufen machte daher keinen Sinn für mich. Leider hat mein altes Cisco Modem auch den Geist aufgegeben (und nicht nur das Netzteil) so dass ich – statt einem Technicolor – dann lieber zur AVM gegriffen habe. Aber im Dezember 2018 kann ich endlich wechseln.
Da werden so viele Geräte auf der Strecke bleiben.
Schöne neue Welt, in der zukünftig kaum ein Bleistift ohne Internetzugang verkauft werden wird.
Die Einfallstore werden so groß sein wie Scheunentore, sagt der Profit, äh, der Prophet.
Wie das wohl mit nicht mehr update-fähigen Geräten aussieht…?
Sie werden nicht mehr upgedatet…
es reicht wenn Client oder Accesspoint ein Update bekommt…
Übertriebene Panikmache. Online Banking geht doch idR über https.
Etwas recherchieren und man bekommt heraus, dass es möglich ist, dass – egal ob Online Banking, Online Shopping, Social Network Login oder sonst was – bei schlechter Konfiguration der Webseite, sich der Angreifer mithilfe von Tools zwischenschalten kann und die https Verbindung abfängt, in http umwandelt und der User dann eben kein https mehr hat. Für einige hier mag das kein Problem sein, wenn man sich mit der Thematik rund um Zertifikate im Browser auskennt, der Großteil der Nutzer ist aber doch nicht so Technik-versiert. Ich konnte auch schon öfters Leute in der U-Bahn beobachten, die ihre login-Daten offen für jeden sichtbar in der Online Banking app eingeben.
Eine Bank, die http-Verbindungen zulässt, dürfte es wohl kaum geben. Selbiges gilt mittlerweile für eigentlich alle relevanten Websites.
Sollte es nicht genügen, wenn in der Adressleiste das grüne Schloss inklusive dem Namen der Bank steht (SSL Zertifikat mit Extended Validation)? Eigentlich sollte dann eine Manipulation ausgeschlossen sein. Oder verstehe ich da etwas falsch?
… und erst die ganzen Speedports …
ob HuAwei das überhaupt fixen will?
Ist da nicht die Telekom für die Software zuständig?
nicht zwangsläufig … beim Speedport Hybrid ist ja HuAwei wegen dem Bonding sehr tief involviert…
ah okay, danke für die Rückmeldung
Ich habe noch 6.50 bei Unitymedia FritzBox.
Da wird es kein Update so schnell geben.
Immerhin wäre ja dann die anderen Sachen wo Unitymedia sperrt und rausfiltert wieder drin.
Was sperren die denn?
Unter anderem die Fernsehfunktion übers Netzwerk.
Normal kannst Du die Fernsehprogramme übers Netzwerk oder Wlan an allen angeschlossenen Geräten anschauen.
Musst slso keine Kabel ziehen.
Die Hersteller wurden bereits im Juni über dieses Problem informiert. Deshalb finde ich die Reaktion von Apple echt einen Witz.
Nun wurde mit der Information an die Öffentlichkeit gegangen und Apple spielt den bugfix in eine Beta, aber nicht für die Live-Systeme? Ganz große Kino…
kauf dir doch Android ! da kriegst du als Antwort, kauf dir ein neues Handy.
Mal drüber nachgedacht, dass es Leute gibt, die Apple nicht nur zum Telefonieren nutzen?
Und komisch, dass Microsoft den Patch schon draussen hatte, bevor die Meldung in der Presse war. Da geht es doch drum. Eine frühzeitige Lösung wäre mehr als möglich gewesen.
Grundsätzlich wird immer noch so getan, als ob Apple nahezu sicher wäre. Dass dem nicht so ist, wissen wir. Zu diesem Eindruck trägt auch bei, wie schnell auf Sicherheitslücken reagiert wird. Und hier, bei einer so gravierenden Lücke, hat sich Apple nun wirklich nicht mit Ruhm bekleckert.
MS hat den fix draußen, da die Unternehmen generell schon länger davon wissen. Mit den Schritt an die Presse nun zu gehen, wollen die Finder nur mehr Druck auf die Unternehmen machen um nun mal etwas zu machen.
Achja MS hat auch deutlich mehr Rechner im Einsatz als Apple. Die Gefahr hier ist daher wohl für diverse Unternehmen größer als auf Apple.
ihr habt aber auch immer eine ausrede und redet echt jeden scheiss von apple schön
Ja, da sieht man, dass Apple Sicherheit wohl auch nur als Marketinginstrument sieht.
Ist auch kein Wunder bei einem unternehmen, welches unter Innovation nur eine neue Produktsparte versteht.
Das heißt man muss jetzt auf iOS 11 updaten? Was ist denn mit den ganzen iPhones, die iOS 11 nicht mehr unterstützt?
Die haben eben Pech. Bin auf die Connect Box von Unitymedia gespannt. Da kann man nicht mal manuell nach Updates suchen und im Netz findet man auch nichts.
eventuell wird es hier 10.3.4 geben. Gab es schonmal bei einem großen Sicherheitsleck.
Ich vermute auch, dass es iOS 10.3.4 geben wird.
Ich hoffe es; ich könnte zwar auf iOS 11 updaten – möchte es allerdings (noch) nicht, da es noch zu viele Probleme oder fehlende Funktionalitäten (3D-Touch-Multitask-Geste z.B.) gibt… Dass bei iOS 11 im Sperrbildschirm nicht mehr in voller Pracht das Albumcover angezeigt wird, finde ich – auch wenn es eine Kleinigkeit ist – auch nicht mehr Apple-like (Apple, die mit Coverflow mal eine tolle Innovation brachten – und wieder tilgten).
Für iOS 11 fähige Geräte wird es mit Sicherheit kein 10.3.4 geben
@Chris selbst wenn es ein 10.3.4 geben wird. Wird das nur für die iPhones sein wo bei iOS 10 Schluss ist. Alle iOS 11 Fähigen Geräte werden diesen Fix nur mit einen iOS 11 Update erhalten.
War damals ähnlich, als Apple nochmal für ein altes iOS Updates gemacht hat wegen der Sicherheit.
Die aktuelle Panikmache ist echt übertrieben und wenn die Updates erst in 6 Monaten kommen, wird es hier auch keinen Geschädigten geben.
Wie sieht es eigentlich mit den AirPort Extremes aus? Hat Apple sich schon dieser Kategorie geäußert?
Schon mal was von *man in The middle* gehört? Man setzt sich bei einem Kaffee in der Innenstadt an seinen Laptop, das richtige Programm um einen WLAN Hotspot zu simulieren und schon kann man alles mitschneiden weil die meisten *geiz ist geil* sich auf jeden unverschlüsselten Hotspot Connecten! Da sehe ich die jetzige Schwachstelle extrem locker!
Naja, nur das DU jetzt ebenfalls betroffen bist, unabhängig vom Geld…
selbst der CCC sagt *alles nicht so schlimm*, Betroffen bin ich nicht da nur Wlan zuhause, unterwegs im LTE (Ja auch da kann man einen Accesspoint simulieren aber das kostet und braucht mehr wie ein paar skriptkiddys)
Neben der Tatsache, dass viele Geräte keine Updates mehr bekommen werden, dürfte es auch noch ein anderes großes Problem geben: auf einem bereits gepatchten Client gibt es keine Chance zu erkennen, ob der Access Point, zu dem man sich verbinden will, auch aktualisiert wurde. Denn es bleibt ja bei WPA2, ein Erkennungsmerkmal wird es nicht geben. D.h. das Vertrauen in fremde WLAN Hotspots geht zukünftig gegen null.
bei einem Android 2.3x sind so viele Lücken drinnen das es auf diese eine wirklich nimmer ankommt ;)
Mein Speedport besitzt gar keinen 802.11r WLAN-Standard der oft in dem Zusammenhang genannt wird … bin ich damit aus dem Schneider?
Auf ARD hieß es gerade es gäbe für iOS bereits ein Update! Was rauchen die?????