Gestern hatten wir einmal darüber berichtet, dass Forscher eine Schwachstelle im WPA2 Protokoll gefunden haben. Danach dann noch die Mitteilung, dass Microsoft mit dem ausgelieferten Oktober Patchday alles soweit gepatcht hatte. Nun hat sich auch AVM ganz offiziell zu diesem Thema geäußert. Das Stantement ist eigentlich eindeutig. Hier einmal der Text.
Eine FRITZ!Box am Breitbandanschluss ist nach aktuellem Stand nicht von der „Krack“ genannten WLAN-Sicherheitslücke betroffen, da sie als Access Point die betroffene Norm 802.11r nicht verwendet. Ein möglicher theoretischer Krack-Angriff richtet sich gegen die WLAN-Verbindung eines Klienten, der sich im WLAN anmeldet.
Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind umfangreiche Voraussetzungen notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Klienten sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden.
Unabhängig von WLAN sind relevante Verbindungen auf höheren Ebenen verschlüsselt. Dazu zählen HTTPS-Verbindungen (Suchanfragen, Online-Banking, Online-Einkauf, Facebook, WhatsApp etc.), die über das Schlosssymbol bzw. der grünen Anzeige bei der Browseradresse zu erkennen sind. Diese Verschlüsselung ist weiterhin sicher.
Zu keiner Zeit ist es mit der Krack-genannten Sicherheitslücke möglich, vollständiger Teilnehmer eines fremden WLANs zu werden.
Ausgehend von der Schwierigkeit des Angriffes, der zwingenden Notwendigkeit vor Ort zu sein und der weiterhin aktiven Verschlüsselung auf höheren Ebenen, erscheint die praktische Bedeutung der Krack-Lücke gering. Angriffe sind nicht bekannt.
AVM hat von Krack am 16. Oktober Kenntnis erlangt. Das für solche Fälle vorgesehene Responsible-Disclosure-Verfahren wurde von den Entdeckern der Lücke leider nicht angewandt. AVM wird nach weiteren Untersuchungen und Tests Updates für WLAN-Repeater zur Verfügung stellen.
Quelle: avm.de/aktuelles
Habe ich das jetzt richtig verstanden, dass es nur Router betrifft, die 802.11r einsetzen?
Wenn ja, dann betrifft es sowieso nur die neumodernen Mesh-Dinger, aber nicht die „normalen“ Router und AccessPoints.
Ich bin mir nicht ganz sicher, ob AVM die Sachlage gänzlich umrissen hat. Bis gestern wußte sie ja (angeblich) noch nichts davon, andere große Hersteller hingegen schon:
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
AVM schreibt ja selber:
„AVM wird nach weiteren Untersuchungen und Tests Updates für WLAN-Repeater zur Verfügung stellen.“
Daraus lese ich, dass Fritz!Repeater und Fritzboxen, die im Repeater-Modus arbeiten auf alle Fälle betroffen sind.
Ok, ich hab mich in die verschiedenen Papers etwas eingelesen und soweit ich es verstanden habe, gibt es 4 Angriffsscenarien:
– 4-way Handshake
– Group-Key Handshake
– Peer-Key Handshake
– 802.11r Fast-BSS Transition(FT)
Die ersten drei betreffen ausschließlich Wi-Fi-Clients (alles was sich an einem WLAN-AccessPoint anmelden kann [Smartphones, Spiele-Consolen, TVs, Drucker, IoT, Repeater, …]) und nur die Attacke „802.11r Fast-BSS Transition(FT)“ betrifft WLAN-AccessPoints die dieses Protokoll auch unterstützen! Da das aber die Fritzbox Gott sei Dank noch nicht macht, ist die „normale“ Fritzbox, die als AccessPoint arbeitet nicht betroffen. Wohl aber alle AVM Repeater und auch Fritzboxen, die als Repeater arbeiten. Daher sind jetzt in erster Linie alle WLAN-Client-Hersteller gefragt.
Das Problem ist doch sowieso primär der Client und nicht der AP(Fritz!Box oderD-Link Router, oder einer von Belkin/Linksys, oder …), und so ziemlich alle Clienten sollen betroffen sein.
Auch die von AVM, steht ja da ^^:
AVM wird nach weiteren Untersuchungen und Tests Updates für WLAN-Repeater zur Verfügung stellen.
Besonders lustig ist das bei Smartphones für die es keine Updates mehr gibt, Smart-TVs, Spielekonsolen, IOT Geräte, usw.
Da hilft auch die schönste Fritz!Box nichts, denn wenn auch nur ein Client diese Lücke aufweist kann man theoretisch da ansetzen.
Also ich habe heute bei AVM angefragt, genau wegen dieser Lücke und einem Fritzwlan Repeater. Mir wurde nicht richtig geantwortet sondern ich habe nur eine „gefühlt“ Automatische Antwort erhalten das alles zu der Lücke auf der oben genannten Info Seite steht.
Ich fühle mich hier von AVM doch sehr auf den Fuß getreten da auf dieser Info Seite der Fehler sehr heruntergespielt wird und nur auf die KabelBox User 100% Eingegangen wird. Alle anderen Geräte werden nur kurz abgespeist und ein „mögliches“ Update ins Aussicht gestellt. Das finde ich für den Deutschen „Marktführer“ doch etwas schwach.
Sogar ich als LAIE habe mir das Paper durchgelesen und in diesem steht auch das die INFRASTRUKTUR UND die CLIENTS auf dem neuen Stand sein müssen sonst kann das System trotzdem Unterwandert werden.
Du hast da etwas völlig falsch verstanden, und zwar das der AP relativ irrelevant ist wenn der Client verwundbar ist.
Wie bereits geschrieben dürften das fast alle sein, und schon ist es irrelevant welchen AP du nutzt.
Schön wenn der AP eine „sichere“ FB ist, aber die bringt dir hier 0, nix da der Client ein bzw. auch ein Problem ist.
Es gibt erste Betas von …. mit denen bist du in kürzester Zeit ein Teil in einem fremden Netz.