Krack: WPA2-Lücke betrifft keine AVM FRITZ!Box, wohl aber Repeater

Die Geschichte rund um die WLAN-Sicherheitslücke „Krack“ haben sicherlich alle mitbekommen. Die Schwachstellen liegen im WPA2-Protokoll und Angreifer könnten theoretisch geschützte Inhalte mitlesen. Mittlerweile hat sich auch AVM noch einmal mit Informationen zu Wort gemeldet. Denn die dürften als einer der bekannteren Hersteller mit vielen Geräten in deutschen Haushalten sicherlich bei einigen Geräten nachpatchen müssen (wie andere Hersteller natürlich auch). 

Laut AVM sind FRITZ!Boxen nicht von der WPA2-Sicherheitslücke betroffen, da man hier nicht auf  die Norm 802.11r setzt. Laut eigenen Aussagen hat AVM erst am 16. Oktober Kenntnis erlangt. Man wird für WLAN-Repeater Updates folgen lassen, hierfür sind aber erst einmal Tests und Untersuchungen vonnöten.

Das ist Krack / AVM-Beschreibung: Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind umfangreiche Voraussetzungen notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Klienten sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

26 Kommentare

  1. Nach der Erklärung also eher ein eher unwichtiges Leck das von den Medien etwas üppig und an sich überflüssig stark angehyped wurde – oder?

  2. Bei den unzähligen Geräten, die nie einen Patch erhalten werden, ist WPA2 damit effektiv gebrochen.

  3. @Oliver Die Sicherheitslücke ist nicht „überflüssig stark angehyped“ ist. Aber sie wird oft falsch dargestellt, denn Onlinebanking usw. sind anders als oft behauptet weiterhin sicher. Diese Daten werden mittels TLS verschlüsselt und haben mit WPA2 nichts zu tun. D.h. ein potenzieller Hacker könnte zwar sehen, dass dort Datenverkehr vorhanden ist aber nicht was und Manipulation ist dann auch nicht möglich.

    Jeder Datenverkehr der aber nicht verschüsselt erfolgt (wie etwa auch das Aufrufen dieses Blogs) ist aber angreifbar.

  4. Ja sehe ich auch so, die ganzen Router, welche noch mit Firmware die am Kauftag aktuell war, betrieben werden oder deren WLan-Passwörter auf Default steht sind viel grössere Sicherheitslöcher, als das nun bekannt gewordene WPA2-Problem.

  5. Habe ich das jetzt richtig verstanden, dass es nur Router betrifft, die 802.11r einsetzen?

    Wenn ja, dann betrifft es sowieso nur die neumodernen Mesh-Dinger, aber nicht die „normalen“ Router und AccessPoints.

  6. Ihr könnt es einfach so verstehen: Jedes Wlan ist jetzt ein „öffentliches“ Wlan. Nicht verschlüsselter Datenverkehr kann mit gelesen werden, nicht verändert. Alle Dienste mit Verschlüsselung z.B. https-Seiten sind Save gegen mitlesen.

  7. Das ist wieder eine von diesen Lücken, wo wirklich sehr viel zusammenkommen und sehr viel wirklich unglücklich laufen muss, damit sie ausgenutzt werden kann, so dass man hier durchaus davon reden kann, dass es sich nur um eine eher theoretische Gefahr handelt.

  8. @Ben
    Der Angreifer kann Traffic auf eine nicht verschlüsselte Version der Seite weiterleiten. Im Demo nutzt er SSL Strip um Anfragen und Redirects von HTTPS auf HTTP zu lenken und liest dann weiter mit. Die Seiten von Banken und so sollten das nicht zulassen, da wurde sicher genügend abgesichert. Aber im Demo funktioniert das zum Beispiel bei Match.com.

  9. Sollte nicht FRITZ!Box 7590 betroffen sein, wenn sie 802.11r und 802.11k unterstützt. AVM sagt ja, dass man nicht auf 802.11r setze, was für nahezu alle Produkte zutrifft.

  10. @Kalle: Danke für die Info, sonst hätte ich es erwähnt. Warum klappt das eigentlich nicht mit Webseiten von Banken? Ich dachte ich muss als Endanwender drauch achten, dass ich nicht auf eine http Seite umgeleitet werde. Wie soll die Bank das mitkriegen bei MITM?

  11. Sind Fritz!Boxen im Repeater Modus betroffen?

  12. @Mr. C Es gibt eine Option die nennt sich HSTS. Wenn diese Option gesetzt ist verhindert der Browser das auf eine unsichere Verbindung umgeleitet wird. Ob eine Seite dies nutzt kann man hier prüfen: https://hstspreload.org

  13. @felix: Eine FRITZ!Box am Breitbandanschluss ist nach aktuellem Stand nicht von der „Krack“ genannten WLAN-Sicherheitslücke betroffen, da sie als Access Point die betroffene Norm 802.11r nicht verwendet.

  14. Ok, ich hab mich in die verschiedenen Papers etwas eingelesen und soweit ich es verstanden habe, gibt es 4 Angriffsscenarien:

    – 4-way Handshake
    – Group-Key Handshake
    – Peer-Key Handshake
    – 802.11r Fast-BSS Transition(FT)

    Die ersten drei betreffen ausschließlich Wi-Fi-Clients (alles was sich an einem WLAN-AccessPoint anmelden kann [Smartphones, Spiele-Consolen, TVs, Drucker, IoT, Repeater, …]) und nur die Attacke „802.11r Fast-BSS Transition(FT)“ betrifft WLAN-AccessPoints die dieses Protokoll auch unterstützen! Da das aber die Fritzbox Gott sei Dank noch nicht macht, ist die „normale“ Fritzbox, die als AccessPoint arbeitet nicht betroffen. Wohl aber alle AVM Repeater und auch Fritzboxen, die als Repeater arbeiten. Daher sind jetzt in erster Linie alle WLAN-Client-Hersteller gefragt und natürlich auch AVM.

  15. Danke Ben

  16. AVM-VERTRIEB antwortete mir auf Anfrage 16:05 vorsichtig:

    Aktuell wird über eine Lücke im WPA2-Protokoll von WLAN berichtet. WPA ist relevant für alle WLAN-Produkte, vom Smartphone über Router bis zur IP-Kamera. Angriffe sind nicht bekannt und könnten auch nur im direkten WLAN-Umfeld erfolgen. Für eine genauere Einschätzung müssen noch weitere Details bekannt werden. Falls notwendig wird AVM wie gewohnt ein Update bereitstellen.

  17. Kalle 17. Oktober 2017 um 15:18 Uhr

    @Ben
    Der Angreifer kann Traffic auf eine nicht verschlüsselte Version der Seite weiterleiten.

    Da Stellt sich mir doch die Frage warum denn die Seite hier kein SSL bietet =)

  18. @Manu
    Weil sonst diverse eingebundene Drittanbieter wie z.B. Werbeanzeigen, Kommentarsysteme, usw. nicht mehr einfach so ohne Mehraufwand funktionieren würden. Gibt zwar Lösungen, aber das ist der Hauptgrund warum sich einige Seitenbetreiber standhaft weigern…

  19. typisch AVM, alles abstreiten.Die beiden Programmierer sind wohl im Urlaub und von der Materie versteht sonst niemand etwas.
    Ist WiFi von der Lücke betroffen? Nein, mein Herr, nur WLAN. Danke.

  20. @jehofa

    https://avm.de/aktuelles/kurz-notiert/2017/wpa2-luecke-fritzbox-am-breitbandanschluss-ist-sicher/

    Ich halte die Lücke ein bisschen aufgebauscht vom BSI, das hat auch schon der CCC dargelegt!
    Das größte Problem sollte wohl sein ein Angriff zu machen dazu müsste man dichter sein als der Hotspot um das switchen zu realisieren, von dort an wäre denn einiges machbar, dazu muss es aber erst einmal kommen!

  21. Und was ist mit den vielen älteren Fritzboxen, die noch als Repeater im Haus eingesetzt werden? Gelten hier ebenfalls die Standardprotokolle, die nicht betroffen sein sollen, oder kommen auch hier spezielle Roaming-Protokolle wie das 802.11r zum Einsatz???

  22. Mr.Magoo: man muss nicht dichter sein, sondern am Client besser empfangbar sein. Dies lässt sich auch über gerichtete Antennen und/oder über eine höhere Sendeleistung bewerkstelligen. Auch aus großer Distanz.

  23. Einfach VPN nutzen, wie man es auch tun sollte, wenn man in einem öffentlichen WLAN unterwegs ist und die Gefahr ist gebannt. Der Haken dabei ist allerdings, das es gute und schnelle VPN Dienste nicht umsonst gibt.

  24. @ZLemma:
    So, dann zeig mir doch mal, wie z.B. der heimische Drucker, die Repeater, die Spiele-Console, der TV, der Kühlschrank, die Waschmaschine etc. eine VPN-Verbindungen aufbaut.

  25. Was bedeutet denn der Satz: „Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet.“
    Von wo nach wo meldet sich der Klient um? Ist das einloggen ins Wlan gemeint?

    Unser Chef hat das Wlan aufgrund dieses Vorfalls ausgeschaltet und das nervt natürlich alle Kollegen. Ich brauch Argumente und Strategien um ihm seine Angst zu nehmen.
    Wir haben momentan einen alten Netgear-Router.
    Würde es was bringen, wenn man da ne fritzbox noch mit ranhängt die dann nur wlan verbreitet?

    Weitherhin heißt es ja auch, dass Klient-Geräte auch zu der Lücke beitragen. Also müsste jedes Smartphone, jeder Chromecast etc. pp. einen offiziellen Patch erhalten?

    Ja, ich bin Laie auf dem Gebiet Netzwerktechnik. Bitte nicht schimpfen.

    Danke für Tipps und Erklärungen

  26. @Martin F.:
    Die Vorsichtsmaßnahme Deines Chefs ist nur konsequent, ohne jetzt zu wissen, was ihr für wichtige Daten hin- und herschaufelt.

    Um mal bei den wesentlichen Fakten zu bleiben:
    Es betrifft zu 99,9% alle Clients (PC, Smartphone, Drucker, TV, Spielekonsole, …) und in der Regel nicht den AccessPoints, also den Router. Siehe auch:

    http://stadt-bremerhaven.de/krack-wpa2-luecke-betrifft-keine-avm-fritzbox-wohl-aber-repeater/#comment-811779

    Es betrifft nur dann den Router/AccessPoint, wenn er als Repeater in einem WDS-Verbund arbeitet oder aber wenn er das Protokoll 802.11r+s unterstützt (was 99% der Router schon mal nicht manchen in Deutschland).

    Der Angriff funktioniert auch nur dann, und das ist vermutlich das, was mit deinem zitierten Satz gemeint ist, wenn der Client sich versucht an einem AccessPoint anzumelden. Und auch dann muss der Angreifer guter Nähe zu dem AccessPoint stehen oder mit Richtantennen arbeiten, um hier eingreifen zu können. Wie hoch die Wahrscheinlichkeit für solch einen Angriff ist, musst Du für Dich selber bewerten. Ich meinem Umfeld halte ich es für schwer realisierbar, zumal der Angreifer auch das notwendige Equipment und Know-how haben muss. Klar brechen immer mal WLAN-Verbindungen ab und bei der Neuanmeldung wäre dann die Möglichkeit zum Angriff. Also, aus dem Internet heraus kann er Euch nicht angreifen, er muss sich in der Nähe des AccessPoints/Routers befinden.

    Damit hat er ggf. erst einmal deine Verbindung „umgeleitet“, wenn Du jetzt aber https als Protokoll eingesetzt hast (z.B. beim Surfen, Datenbankabfragen, etc) kann der Angreifer nichts auslesen, denn das ist separat verschlüsselt.

    Also, Aufgabe Eures Chefs und Euch muss sein, *ALLE* Clients upzudaten! Und das ist momentan nicht leicht, denn für viele Geräte im WLAN gibt es noch keine Updates und im schlimmsten Fall wird es sie auch nicht geben!

    Ach, und um das nochmal klar zu sagen: Der Angreifer ist *NICHT* in der Lage Euer WPA2-Passwort auszulesen. Ihr müßt das nicht ändern.

    Das mal nur ganz vereinfacht dargestellt….

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.