News

WPA2 unsicher: KRACK hebelt WLAN-Verschlüsselung aus

Nach Bluetooth hat es jetzt auch das drahtlose Netzwerkprotokoll WLAN erwischt – konkret den Standard WPA2. Potentiell sind alle Geräte, die über einen entsprechenden Chip verfügen, betroffen, auch die Produkte von Apple. 

Die belgischen Sicherheitsexperten Mathy Vanhof und Frank Piessens haben die schwerwiegende Lücke entdeckt und veröffentlicht. Das Fehlverhalten liegt im Standard an sich, damit sind alle Netzwerke die mit WPA2 geschützt sind potentiell betroffen. Bei Android und Linux funktioniert die Attacke besonders einfach, dennoch sind auch Nutzer anderer Systeme nicht sicher.

We discovered serious weaknesses in WPA2, a protocol that secures all modern protected Wi-Fi networks. An attacker within range of a victim can exploit these weaknesses using key reinstallation attacks (KRACKs). Concretely, attackers can use this novel attack technique to read information that was previously assumed to be safely encrypted. This can be abused to steal sensitive information such as credit card numbers, passwords, chat messages, emails, photos, and so on. The attack works against all modern protected Wi-Fi networks. Depending on the network configuration, it is also possible to inject and manipulate data. For example, an attacker might be able to inject ransomware or other malware into websites.

KRACK im Detail

Die Lücke befindet sich im Handshake-Verfahren von WPA2. Clients senden während des Abgleichs ihre Nachrichten mehrfach an die Gegenstelle um einen möglichen Paketverlust abzufangen, hier greift die Key Reinstallation Attack (KRACK). Nach erfolgreicher Attacke ist die Verschlüsselung umgangen und der Angreifer hat Zugriff auf das drahtlose Netzwerk und kann auch den Verkehr entsprechend abhören.

In a key reinstallation attack, the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying cryptographic handshake messages. When the victim reinstalls the key, associated parameters such as the incremental transmit packet number (i.e. nonce) and receive packet number (i.e. replay counter) are reset to their initial value. Essentially, to guarantee security, a key should only be installed and used once. Unfortunately, we found this is not guaranteed by the WPA2 protocol. By manipulating cryptographic handshakes, we can abuse this weakness in practice.

WPA2 unsicher – wie geht es weiter?

Aktuell gibt es für Nutzer leider wenig Chancen darauf zu reagieren. Es gilt die Updates der Hersteller abzuwarten. Dabei muss jedes teilnehmende Gerät im System ein Update erhalten, beispielsweise auch der Router bzw. Access Point.

Eine mögliche Variante ist die komplette Deaktivierung der WLAN Schnittstelle – und das Ausweichen auf Ethernet oder Mobilfunkt.

Details zu KRACK und der Sicherheitslücke in WPA2 gibt es auf Krackattacks

Bild von Krackattacks

Jan Gruber

Chefredakteur Magazin und Podcasts

Neueste Artikel

Apple bewirbt A18 Pro Chip: Neuer iPhone 16 Pro Werbespot hebt Leistung hervor

Apple hat einen neuen Werbespot für das iPhone 16 Pro veröffentlicht, der die beeindruckende Leistung des A18 Pro Chips in…

22. November 2024

US-Regierung fordert Verkauf von Chrome: Maßnahmen gegen Googles Monopol im Suchmarkt

Das US-Justizministerium (DOJ) hat am Mittwoch vorgeschlagen, dass Alphabet Inc. (Google) seinen Chrome-Browser, möglicherweise sogar das Android-Betriebssystem, verkaufen muss, um…

22. November 2024

Apple plant umfassende Überarbeitung von Siri: Mehr KI und Konversation geplant

Apple arbeitet an einer grundlegenden Neuentwicklung seines digitalen Assistenten Siri, um den Rückstand zu führenden KI-Diensten wie OpenAI's ChatGPT und…

22. November 2024

Billie Eilish ist Apple Music Artist of the Year 2024

Billie Eilish wurde von Apple Music zur Artist of the Year 2024 gekürt und damit für ihren außergewöhnlichen Einfluss und…

22. November 2024

Apple-Shopping-Event: bis zu 200 Euro Gutschein zum Kauf dazu

Apple startet sein Shopping-Event am 29. November. Kauft man ein qualifiziertes Produkt erhält man vom Konzern bis zu 200 Euro…

21. November 2024

Indonesien prüft 100-Millionen-Dollar-Investment von Apple zur Aufhebung des iPhone-16-Verbots

Die indonesische Regierung wird am Donnerstag über ein 100-Millionen-Dollar-Investitionsangebot von Apple beraten. Dieses Angebot ist Teil des Versuchs, das Verkaufsverbot…

21. November 2024

Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.

Mehr lesen