Viele Router unsicher: WPS deaktivieren!

Hui, nicht gerade kleine Sicherheitslücke, die der Stefan Viehböck da entdeckt hat. Viele, viele Router sind unter Umständen direkt ab Werk unsicher, sofern WPS (WiFi Protected Setup) in Verbindung mit der Pin-Methode benutzt wird. WPS ist für den, der es braucht eine praktische Sache. Geräte müssen nicht mehr umständlich ins Netz gebracht werden – man drückt einen Knopf am Router und einem am Gerät, die beiden erledigen den Rest, ohne nervige Eingabe des Sicherheitsschlüssels.

Wenn ich WPS benutze, dann tatsächlich mit der eben beschriebenen Push-Button-Methode, die vom entdeckten Sicherheitsproblem nicht betroffen ist. Diese dürfte aber alle die betreffen, die WPS mit der PIN-Methode seitens Router dauerhaft aktiviert haben.

Denn dieser gibt bei fehlerhaften Eingaben immer einen Errorcode zurück, der sich mit einem entsprechenden Brute Force-Tool so nutzen lässt, dass man in einem Zeitraum von 90 Minuten bis 10 Stunden im Netzwerk sein kann. Dies betrifft nur Router, die keine Sicherheitsvorkehrungen oder Zeitfenster gegen Brute Forcing implementiert haben.

Was hilft? Die Hersteller müssten sich outen und ein Firmware-Update bereit stellen, alternativ schaut ihr, ob euer Router WPS aktiviert hat und deaktiviert es dementsprechend, bzw. stellt ihr den Spaß auf Push-Button um. Betroffene Hersteller? Unter anderem  Belkin, Buffalo, D-LINK, Linksys, Netgear, TPLink & ZyXEL. Auch zum Thema: derStandard, Golem & US Cert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Ist die abgebildete FRITZ!Box denn betroffen?

  2. Nein, die nehme ich nur zur Visualisierung.

  3. Also ist die FritzBox-Familie gar nicht betroffen?!?

  4. Die in meinem Umfeld nicht. Nö.

  5. Ich glaube das Symbolbild sorgt für Verwirrung:-)

  6. Die Fritzboxen haben generell ab Werk eine Brute-Force Protection.
    Bei jeder fehleingabe wird die Verbindung vollständig getrennt und der Zeitraum, wann eine erneute eingabe möglich ist erhöht.
    Bei 5 Fehlern gibts 30 min sperre – auch beim PW des Webinterface etc. Bei WLAN wird soweit ich das noch richtig im Kopf hab sogar die MAC-Adresse für wenige sekunden gesperrt, damit keine erneute anfrage möglich ist. Damit sollte auch die o.g. Methode scheitern.
    Und die Brute-Force mit den Millionen nötiger Anfragen würde seeeehr lange dauern.
    Außerdem ist normalerweise Push-Button aktiv, nicht Pin. Die muss man manuell aktivieren.
    Arbeite seit mehr als 5 Jahren mit den Boxen und auch mit Modding an den Boxen – da kennt man das System ein wenig ^^
    @caschy: mach doch n Bild von dem Linksys rein den du irgendwann mal getestet hast ^^

  7. Danke für den Hinweis, werd ich gleich mal nachsehen.

  8. Und wieder einmal bin ich froh, dass alle Boxen in unserem Haus von AVM stammen – ich lerne wirklich immer mehr, die Dinger zu lieben 😉

  9. Ludolf Rudolf says:

    OPEN-, oder DD-WRT…wat anderes kütt nit auf die Router.
    So ein Schabernack, die vorinstallierten Firmwares….

  10. @Achisto: bis zur 7270 gebe ich dir Recht, 63xx und 7390 taugen nichts, stürzen reihenweise ab. Nicht nur einzelne Geräte, sondern massig.

  11. Die Boxen der Telekom sind ja oft auch vom Hersteller der Fritzbox. Braucht man sich da dann auch keine Sorgen zu machen? ich bin da nicht wirklich beandert.

  12. meine 7390 ist noch kein einziges mal abgestürzt. trotz der immer aktuellsten fritz.labor firmware.
    auch die die fritz.wlan repeater bieten die selben schutzmechanismen um brute force attacken deutlich auszubremsen.

  13. Ganz doofe Bildauswahl…;)

  14. OK, ich bin auch drauf reingefallen. Das Bild der Fritzbox i.V.m. der Headline hat mich eben @googleplus neugierig gemacht. ,-)

  15. Bei der Gelegenheit: Unterstützt Windows Vista bereits WPS (oder erst ab Win7)?

  16. Warum ein Foto einer FritzBox wenn gerade diese dagegen gesichert ist? Symbolfoto hin oder her…

  17. Meine Fritzbox 7390 ist auch seit einer bestimmten Firmware vor einiger Zeit nie wieder abgestürzt. DECT und WLAN sind auch stabil, einschließlich Fritz!Repeater Verbindung. Vermutlich Kinderkrankheiten am Anfang …

    Ich benötige gerade dieses Modell, weil es ja GigaBit – Anschlüsse für den direkten Anschluss meines NAS und Multimedia PC Systems z.B. mitbringt.

    Gut daß die Fritzbox nicht davon betroffen ist. Allerdings finde ich diese als Bild zu dem Artikel dann absolut missverständlich. Gerade auf der Startseite denkt man doch sofort aus reiner Logik, daß diese davon betroffen sei! Finde ich nicht sooo gut.

  18. das WPS bullshit ist, das ist doch schon seit jahren bekannt.
    ist in etwa genauso sinnvoll wie das vorgehen von banken beim online banking: alles total super dolle mit ssl und dem ganzen kram gesichert und dann das login passwort auf max 6 zeichen (zahlen only) beschränkt und als login name die kontonummer unabänderbar vorgegeben. –> intelligenz.

  19. Muss Abloada Recht geben! Die Fritzbox 7390 läuft seit Monaten stabil bei mir und ich habe auch immer die neusten Firmwarelaborversionen drauf.

    @caschy
    Einfach mal die neue Laborversion runterladen, Fritzbox auf Werkseinstellungen zurücksetzen und gleich die neue Laborversion drauf installieren, aber ohne deine Zugangsdaten, Neustart machen und dann deine Zugangsdaten eingeben und fertig!

  20. also mal ehrlich: Was hat jemand davon, wenn er sich in 1-10 Std in mein WLAN hackt? Er kann mich genauso nach meinem WLAN-Key fragen, dann gebe ich ihn raus.
    Ich wäre für OPEN-WLAN für alle, dann hätte ich es unterwegs erheblich einfacher und müsste nicht immer einen Hotspot suchen.

  21. Weiß jemand, wie das mit der Easybox 802 von Vodafone aussieht?

  22. Es gibt ja eh noch genügend Leute mit WEP-Verschlüsselung und da ist man ja meistens nach 5min drin. Firmwareupdates sind auch eine geniale Idee da bestimmt 98% der Leute die WPS benutzen noch nicht einmal wissen, dass es Firmwareupdate für den Router gibt geschweige denn wie man die aufspielt. Falls es denn Updates geben sollte…

  23. Auch wenn Fritzboxen nicht betroffen sind, habe ich gleich heute Morgen mal nachgeschaut, was meine Box zu WPS zu erzählen hat. Und siehe da, WPS ist automatisch deaktiviert, wenn man die WLAN-SSID versteckt. Ich weiß nicht, ob das auch für Geräte von anderen Herstellern funktioniert, einen Versuch wäre es aber alle Mal wert.

  24. @caschy
    Mit dem Bild hast du mich jetzt erschreckt 🙂 aber solange meine FRITZ!BOX 7390 genausowenig betroffen ist wie meine FRITZ!BOX 7170 ist alles OK. ps. meine FRITZ!BOX 7390 läuft recht stabil (immer mit der aktuellen Labor Firmware) aber die DSL Verbindung zum QSC DSL Anschluss war mit der 7170 sowohl schneller als auch (etwas) stabiler.

    @draftec Die Speedports der Telekom sind zwar oft von AVM aber da das Problem in der Software ist welche von der Telekom kommt (und auch oft Schrott ist) hat das hier nichts zu bedeuten außer du hast den Speedport „gefrizt“ d.h. du hast die AVM FRITZ!BOX Firmware auf einem Speedport mit AVM Hardware aufgespielt.

  25. @Planer

    Offenes Wlan für alle ist nur so lange lustig bis irgendein Scherzkeks 3000 mal Penis über deinen Netzwerkdrucker in Auftrag gibt. Ich hätte ausserdem ein kleines Problem damit da ich alle meine Daten im Netzwerk zur verfügung stelle und ich mir nicht sicher wäre wie toll der „Win 7 Workgroup“- Schutz ist.

  26. @caschy:
    Und? Bild immer noch nicht geändert? Naja, egal was die Leute schreiben, was?

  27. @Heiner:fetten Text gesehen? Aber ich schau mal nach was anderem. Aber nicht, weil du so überaus sympathisch gefragt hast. Solche Leute hab ich gern.

  28. Braveheart82123 says:

    ach caschy caschy würd mich mal interresieren wieviele z.b. den schwachsinn treiben den w-lan router neben dem rechner zu haben aber w-lan benutzen anstadt den meter oder auch 2 mitm kabel zu überbrücken…..
    wohlgemerkts beim standrechner nicht beim laptop…

  29. Fehlt da nicht ein „TM“ am Logo? Und warum heißen in letzter Zeit (nicht nur hier) viele Bilder nur noch Bildschirmfoto xy und haben keine Quellenangabe mehr, wie das früher mal der Fall war? Hat das irgendwelche juristischen Gründe?

    Aber gut, dass du das in der Tat irreführende Bild getauscht hast.

  30. @planer

    jo, gib mal raus. ich würde dann gerne bei der nächsten anon aktion mit deiner IP mitmachen.
    die polizei wird sich dann bei dir melden.

    ernsthaft: mache leute lassen ihr hirn scheinbar auf dem schreibtisch liegen sobald sie irgendwas im netz posten.

  31. @gary – Die EasyBox’en, die von Vodafone mitgeliefert werden, sind in der Standardkonfiguration anfällig. WPS ist abschaltbar, und vielleicht sollte mal ein bisschen Druck auf Vodafone ausgeübt werden, damit es schnell ein Firmwareupdate (und einen Hinweis an die Kunden, zum Beispiel zusammen mit der Rechnung) gibt…

  32. @masi, LOL, was hast du davon, wenn du meinen WLAN-Key weißt? Mein WLAN ist sowieso nicht verschlüsselt. Und warst du schonmal online über meinen Router?

  33. Übrigens: Offenes WLAN bedeutet nicht automatisch Netzwerkfreigabe oder Druckerfreigabe. Und schon garnicht, dass der Router übers Internet erreichbar ist, wie es einige hier scheinbar vermuten.

  34. das ist wieder so ein hoax-Thema, viel Wind um nichts.
    Mal ehrlich, wen interessiert mein WLAN?

  35. Die Fritzbox 7390 ist Mist. Im Gegensatz zu meiner alten 7170 ist die 7390 ein echter Absturz, nie wieder diese Kiste!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.