AVM & KRACK: Erste FRITZ!OS-Updates für betroffene Geräte
Nutzer bestimmter Hardware-Komponenten des Berliner Herstellers AVM bekommen gerade Updates angeboten. Wir erinnern uns an die jüngst bekannt gewordene WPA2-Sicherheitslücke namens KRACK. Diverse Institutionen warnten, AVM, die Deutsche Telekom und weitere gaben Informationen bezüglich ihrer Produkte heraus.
Schwachstellen des Protokolls in der WPA2-Aushandlung wurden laut AVM nun beseitigt und damit die Sicherheit erhöht. Die Updates stehen für FRITZ!WLAN Repeater 1750E und FRITZ!Powerline 1260E über die jeweilige Oberfläche des Gerätes zur Verfügung. Beim 1750E nennt AVM zudem noch eine erhöhte Leistung durch verbessertes Speichermanagement im Changelog.
KRACK: Deutsche Telekom informiert über WPA2-Schwachstelle
LineageOS: Alle kommenden offiziellen 14.1-Builds sind KRACK-sicher
Krack: WPA2-Lücke betrifft keine AVM FRITZ!Box, wohl aber Repeater
KRACK: WLAN-Sicherheitsprotokoll WPA2 liefert zahlreiche Angriffsfelder für Hacker
AVM ist auf Zack. Das muss man ihnen lassen.
@caschy:
„Beim 1750E nennt AVM zudem noch eine erhöhte Leistung durch verbessertes Speichermanagement im Changelog.“ – Das war doch schon bei der 06.90.
Neu mit FRITZ!OS 6.92:
– Fehlerhaftes Scrolling der Benutzeroberfläche auf Mobilgeräten behoben
– Fehlerhafte Übersetzungen auf der Startseite behoben
– Schwäche der Schlüsselaushandlung bei WPA2 behoben
Quelle:
ftp://download.avm.de/fritz.box/fritz.wlan_repeater_1750E/firmware/deutsch/info.txt
Das stimmt, einen Tag nach der Veröffentlichung der Lücke hatte AVM direkt ein Statement mit den (bei Ihnen kaum betroffenen) Produkten abgegeben, das ist vorbildlich
Aber immer noch keine Mesh-Version für den DVB-C Repeater. 🙁
Das ist ja wieder mal typisch für AVM… kennt man ja! Bei solchen Lücken immer als erstes reagieren, nach „vorne“ entwickeln und rücksichtslos dazu noch konsequent Abhilfe schaffen. Alle anderen Anbieter und Hersteller stehen wieder mal wie begossene Pudel im Regen – Danke AVM!1
@caschy:
„Beim 1750E nennt AVM zudem noch eine erhöhte Leistung durch verbessertes Speichermanagement im Changelog.“ – ne, das floß erst bei der 06.91 ein, nicht bei der 06.90 wie ich oben behauptet hatte. In 06.92 ist es trotzdem nicht neu.
Vor lauter Euphorie vergesst bitte nicht, dass bei KRACK vor allem die Clients das Problem sind. D.h. ihr seit mit diesem Update nicht vor KRACK sicher, nur der Repeater (als Client) ist geschützt. Alle anderen Clients, die nicht gepatcht sind, sind weiterhin anfällig. Insbesondere Android!
Hansi dank Dir für Deinen wichtigen Beitrag! Ich hatte auch schon überlegt, das zu schreiben. Es ist nämlich noch kaum was gewonnen.
@iMactouch:
Immer mit der Ruhe, das wird schon.
So meinen Fritz-Repeater sind sicher, die FritBox wars ja eh, nun mal abwarten, wann die Leute aus dem Obstladen in den Quark kommen und ihre System upgraden.
Wegen dem schnellen und guten Support greift man ja gerne zu AVM. Wenn nur mein 300E nicht bereits fünf Jahre nach dem Kauf aus dem Support gefallen wäre …
@Hansi
Windows 7, 8 und 10 sind bereits gepatcht, bei macOS 10.13 ist der Fix in der aktuellen Beta schon enthalten (kommt also Anfang November beim User an), für die allermeisten Linux-Distris gibt es ebenfalls schon Patches
Mobil sieht die Sache anders aus.
iOS hat den Fix ebenfalls enthalten, aber derzeit auch nur in der iOS 11.1 Beta (ebenfalls Anfang November beim User), bei Android ist man voraussichtlich auf den Hersteller angewiesen. Ob Google das per monatlichem Sicherheitsupdate einschieben kann ist fraglich, aber nicht undenkbar. Als WindowsPhone-User steht man wohl im Regen.
Unklar ist die Sache bei macOS 10.12 und 10.11, die noch offiziellen Update-Support haben, zu denen sich Apple aber noch nicht geäußert hat.
Unwahrscheinlich ist ein Patch für iOS 10, gänzlich aussichtslos für iOS 9 (hier wurde noch nicht mal mehr Broadpwn gefixt)
Andererseits ist auch jegliche Panik fehl am Platz.
Freilich ist es ärgerlich, wenn jemand die WLAN-Verschlüsselung aufbrechen kann. In der Regel ist aber der Datentransfer selbst auch noch mal verschlüsselt (Stichwort: HTTPS).
Die Lücke ist schon sehr schwerwiegend, aber sollte auch niemanden hyperventilieren lassen.
Zudem müsste sich ein Angreifer in WLAN-Reichweite befinden
Der klassische Fall für ein solches Szenario sind öffentliche WLANs. Die sind aber zumeist ohnehin schon unverschlüsselt, bzw. der Schlüssel öffentlich bekannt, also gibt es da auch nichts zu knacken.
Was ist mit dem Fritz Repeater 310 ?
@Michael Slomma, Windows 10 Mobile bekam beim letzten Patchday auch Sicherheitsupdates. Zumindest werden die verbliebenen Windows Smartphones noch bis 2019 Sicherheitsupdates bekommen. Was immer noch besser als die Situation bei den meisten Android-Geräten ist.
Bei meinem billigen Xiaomi Handy kam heute auch ein Fix.
@Michael Slomma:
Das mit Windows ist leider maximal die halbe Miete, denn auch der Treiber muss modifiziert werden. Intel z.B. bietet schon aktuelle WLAN-Treiber an: Intel PROSet/Wireless Software 20.0.2.
@willi:
Was soll mit dem Fritz!WLAN Repeater 310 sein? Der kommt auch noch dran. Irgendwo muss AVM ja anfangen.
@elknipso2:
Der Artikel ist mega oberflächlich und maximal was für Laien. Wer wirklich verstehen will, was wann wo wie passiert muss schon die englischsprachigen Originaldokumente lesen. Dort werden auch die verschiedenen Angriffsszenarien beschrieben, worauf heise überhaupt nicht eingeht.
Darin tauchen folgende Sätze auf:
„Letztlich kann man sowohl WLAN-Clients als auch Router angreifen. Nahezu alle Geräte mit WLAN sind in irgendeiner Form anfällig.“
Der erste Satz ist schon mal so pauschal falsch. Router sind es nur dann, wenn sie das Protokoll 802.11r oder 802.11s unterstützen. >99% Router tun das schon mal nicht, also sind sie nicht betroffen. Daher Fritzboxen auch nicht.
Und der zweite Satz „in irgendeiner Form anfällig“ ist ja dermaßen aussagefähig. 🙁 Für ein angeblich technisches Magazin empfinde ich das sehr schwach.
Hallo
Mal eine Frage die mir evtl. jemand beantworten kann.
Müsste AVM nicht auch für die USB-WLAN Sticks Updates bringen?
Gruß
Immer wieder geil, wie ahnungslose öffentliche Institutionen pure Panik verbreiten. Was bleibt mir anderes übrig als hilfesuchenden Kunden mitzuteilen, dass das BSI und die Lügenpresse dümmer als Brot sind?
Leider ist auch Heise erst recht spät dazu übergegangen, echte Angriffsmöglichkeiten samt Wahrscheinlichkeiten zu nennen.
@skyteddy
In dem Artikel selbst wird ja auf die detaillierten Dokumente verwiesen. Wer das Hintergrundwissen hat diese zu verstehen wird dort fündig. Und für ich sage mal interessierte Laien auf dem Gebiet ist der Artikel schon gut geschrieben. Ich denke ich hätte die Zusammenfassung dort auch verstanden, wenn ich kein Hintergrundwissen in Verschlüsselungstechnik hätte, daher die Empfehlung von mir oben.
@HorstS:
Meiner Meinung nach ja
@Wolfgang D:
Ich komme aus dem Kopfschütteln die letzten Tage auch nicht mehr heraus. Grausam, was da so alles geschrieben und empfohlen wird und wie „Fachleute“ die „Sachlage“ beurteilen 🙁
@elknipso2:
Freut mich, wenn Dir der Artikel irgendwie weitergeholfen hat. Gestern am Stammtisch habe ich jedenfalls anderes gehört. Und ja, ich weiß, dass die auf die Dokumente verwiesen haben, das war auch in meinen Augen das einzig Brauchbare 😉
@tabiusblogger:
Ich muss Dir leider Deine Illusion nehmen, dass da irgendwer schnell gewesen wäre. Alle namhaften Hersteller wurden bereits Ende August informiert und hatten vor Publikmachung der Lücke genügend Zeit, um Updates vorzubereiten! AVM ist halt leider weltweit ein Niemand, darum erfuhren die es erst vor ein paar Tagen mit uns Normalsterblichen:
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4