ComputerBase Menü
Aktuelles

News WPA2: Schwachstelle in WLAN-Verschlüsselung lässt mitlesen

In iOS 11.1 Beta3 schon gefixt.
 
Zuletzt bearbeitet:
Reicht Update von Server (Router) oder Client (PC)? Oder müssen beide gepatcht werden?
 
Omg der nächste Supergau. Ich hoffe einmal dass das auf der Geräteseite gefixed werden kann und man jetzt nicht bei jedem Access Point sich um eine neue Firmware kümmern muss.
 
Wie man die Lücke patchen kann: Das erneute Setzen der Nonce verweigert und reauthentifizieren.

​Im Endeffekt eine triviale Lücke, die aber halt im Protokoll nicht beachtet wurde und daher bei jedem Client verfügbar ist. Das ist aber gleichzeitig das "Gute" an der Lücke: Nur die Clients sind angreifbar, daher ist es auch nur nötig, diese zu patchen. Das bedeutet, der klassische AP Router ist nicht betroffen, aber das Handy und der Laptop, die hoffentlich beide noch ein Update bekommen.

​EDIT: @jomoo: Nur der PC/Laptop/Repeater muss gepatched werden.
 
und, solang es nicht in produktiv gefixt ist iOS 11.1, ist es immer noch eine gefahr..
und die ganzen anderen geräte im wlan? drucker, android handys von anderen leuten, notebeooks, tablets ...
 
Update für wpasupplicant ist für Debian schon raus. Der Intel Wireless Driver wurde auch heute geupdated wobei ich nicht weiß ob das im Zusammenhang steht (Ist aber anzunehmen).

Android-User ohne Custom-ROM gucken natürlich in die Röhre und haben Glück wenn ihr Gerät in ein paar Wochen überhaupt ein Update hat. In LineageOS ist der Patch wohl schon gemerged, sollte also in allen folgenden Builds enthalten sein.
 
Frank schrieb:
Anders als in der Warnung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) von heute beschrieben, sind sichere Transaktionen über HTTPS beim Online-Banking und Online-Shopping somit nicht gefährdet und können auch weiterhin über eine WPA2-verschlüsselte WLAN-Verbindung durchgeführt werden. Das BSI hatte pauschal dazu geraten, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online-Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.
Zum Vergrößern anklicken....

Und wie kommst Du darauf? In dem Video sieht man ja durch den MITM dass das grüne Schloss fehlt... we
 
@DFFVB
Im Video ist rede von manchen Websites. Es kommt auf die Art der ssl Implementierung an. Deswegen ist nicht jede Webseite angreifbar.

Bei Minute 1:20 sagt er es : „improperly configured Websites“.
 
Zuletzt bearbeitet:
Eine Website ist nicht angreifbar wenn HSTS genutzt wird, heißt wenn die Domain in der HSTS-Liste steht, so dass der Browser weiß dass er für diese Domain niemals http:// nutzen darf.
Steht eine Seite dort nicht drinne, dann hat sie lediglich eine Weiterleitung von http:// auf https://, aber der Browser verbindet sich möglicherweise trotzdem erstmal mit http://. Da setzt der Angriff an, denn die Weiterleitung auf https:// wird einfach weggefiltert, so dass man weiter über http:// surft und Angreifer mitlesen können.

Ob eine Domain in der HSTS-Liste steht lässt sich hier ermitteln: https://hstspreload.org/

EDIT: "improperly configured" ist finde ich nicht ganz richtig an der Stelle. Schließlich ist HSTS kein muss, und für Betreiber großer Websites auch riskant, weil es keinen schnellen Weg zurück gibt. Man kann HSTS nicht mehr deaktivieren wenn man erstmal auf die Liste steht, zumindest nicht ohne Monate lange Verzögerung.
 
Zuletzt bearbeitet:
@sir Einstein
Richtig. Das iPhone5 aus dem Jahre 2012 hat kein iOS 11 bekommen. Somit bekommt es auch nicht iOS 11.1.

Das iPhone von 2007 übrigens auch nicht. Vermutlich bekommt mein SE k750i auch kein Update.
 
Zuletzt bearbeitet:
man kann nur mitlesen, also wirst noch wegen Verbreitung Urheberrechtlich geschütztem Material verknackt!
 
Ein Schutzsystem was durch einen Menschen geschaffen wurde wird immer "Schwachstellen" enthalten ! Ist so, wird auch so bleiben....

Press the panic Button ! :evillol:
 
... na dann alles richtig gemacht hab kein WLAN nur öffentliche ohne Passwort ...
 
Und dein Smartphone hast du wie nochmal per LAN angeschlossen?
Zum Vergrößern anklicken....

Hat eh eigene SIM somit brauchst auch kein WLAN im Normalfall.
Zur Datenübertragung gehts auch meist mit USB Kabel.

Bluetooth is ja auch schon nicht mehr sicher.
GSM kann anscheinend sowieso jeder Depp mitlesen.
UMTS ist auch nicht viel sicherer.

Und mit den Quantenrechnern werden sie bald noch die letzten sicheren Verschlüsselungen knacken.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News WPA3 verabschiedet: Neue WLAN-Verschlüsselung soll wieder Sicherheit bieten
2 3
Antworten
40
Aufrufe
14.046
Lar337
L
Hyourinmaru
FRITZBox 6490 Cable: WLAN-Verschlüsselung per Skript ändern
Antworten
7
Aufrufe
1.844
Raijin
Raijin
M
WLAN-Verschlüsselung
Antworten
15
Aufrufe
1.567
Wilhelm14
Wilhelm14
P
WLAN Verschlüsselung - Weitere Konfiguration
Antworten
5
Aufrufe
1.270
Paulo7
P
Z
WLAN Verschlüsselung WEP/WPA/WPA2 immer Erkennbar?
Antworten
7
Aufrufe
1.458
JackForceOne
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz