BSI: Schwere WLAN-Sicherheitslücke in nahezu allen Geräten entdeckt

[HWL News Bot]

Aktuell warnt unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor diversen Sicherheitslücken in WLAN-Routern, die unter dem Namen “Fragattacks” zusammengefasst wurden. Diese Schwachstelle lässt sich aktuell allerdings nur lokal ausnutzen, somit müssen sich Angreifer in der Nähe des Gerätes befinden, um dieses zu attackieren.
... weiterlesen

 

[Liesel Weppen]

Da kommt Freude auf...

 

[Luxxiator]

Es wird wohl Updates geben, sofern man keine exotische Hardware sein eigen nennt oder billig gekauft hat...

 

[DragonTear]

Was jetzt, muss der Angreifer physisch in der Nähe sein, oder reicht ein Bild in einer Email?

 

[passat3233]

Beides.
Mit Nähe ist der Empfangsradius des WLANs gemeint.

Und wie im Beitrag steht, gibts für die FB 7590 schon einen Fix dafür, einfach auf die neue FW 7.27 aktualisieren.

 

[dirk11]

Statt dieses Blabla wäre eine verständliche Erklärung, was es damit auf sich hat, mal sinnvoller Inhalt.

 

[passat3233]

Wenn man zu Faul ist, das verlinkte PDF und die im PDF verlinkte Seite zu lesen, dann hätte man auch eine Erklärung.
Hier mal der Direktlink aus dem PDF des BSI: https://www.fragattacks.com/
Man muß aber der englischen Sprache mächtig sein.

 

[Sassicaia]

Man muß aber der englischen Sprache mächtig sein.

Bildung ist doch nur Ballast, bald haben wir alle ein neuronales Interface im Nacken und bekommen an einem Terminal einen upload nach Gusto. Abitur, Berufsausbildung, Studium etc. für alle. Eine Umschulung dauert dann auch nur noch ein paar Momente

Google Translate

Google's free service instantly translates words, phrases, and web pages between English and over 100 other languages.

translate.google.com

 

[dirk11]

Wenn man zu Faul ist, das verlinkte PDF und die im PDF verlinkte Seite zu lesen, dann hätte man auch eine Erklärung.
Hier mal der Direktlink aus dem PDF des BSI: https://www.fragattacks.com/
Man muß aber der englischen Sprache mächtig sein.

Ja. Bin ich dann wohl. Das nichtssagende PDF habe ich natürlich gelesen. Aber was machen die ganzen Menschen, die man erreichen will, die der englischen Sprache nicht mächtig sind? Sind die alle einfach nur zu faul? Seltsame Einstellung.

BTW: Heise kann's.

 

[pillenkoenig]

wenn ich mir sowieso die originalquelle anschauen muss, wieviel sinn hat dann der artikel dazu noch? (aus sicht des lesers)

 

[passat3233]

Aber was machen die ganzen Menschen, die man erreichen will, die der englischen Sprache nicht mächtig sind?

Naja, die englische Sprache wird in der Schule seit Ewigkeiten gelehrt.
Man muß nur mal sein Schulwissen aus der Schublade holen.
Und für die, die es bequem haben wollen, nutzen einfach einen der Online-Übersetzungsdienste wie z.B. google translate.

 

[Liesel Weppen]

Selbst wenn Leute die geschriebene Sprache verstehen, würden wohl trotzdem die wenigsten den Inhalt verstehen. Bei Leuten die sich im Luxx rumtreiben, mag das anders aussehen, von denen würde ich aber auch Englischkenntnisse erwarten.

Da auch die WLAN-Imlementierung im Linuxstack betroffen ist, ist wohl auch OpenWRT dabei. Hab aber noch nix konkretes gefunden, ob das in OpenWRT nun schon gefixt ist oder noch nicht.

 

[DragonTear]

Denke erschwerend hier ist dass es nicht nur eine einzelne Lücke ist, sondern eine Reihe von Schwachstellen. Das macht die Erklärung umständlich.

So wie ich es inzwischen verstehe kann man im Endefekt eigene Datenpakete in die verschlüsselte Wlanverbindung einschleusen. Man kann zwar nicht direkt die Verschlüsselung knacken, aber das reicht für manche Angriffe schon aus - z.B. um einen Schadlink in eine harmlose Mail einzubinden (wohl wenn diese nicht über HTTPS übertragen wird?). Ab dann braucht der Angreifer auch keine Physische Präsenz mehr, aber für den initialen Angirff aufs Wlan schon.
Geräte die nicht über eine weitere Verschlüsselung wie https verfügen (z.B. manche ferngesteuerte Steckdosen) sind im lokalen Netz dadurch theoretisch angreifbar (aber da physische Präsenz nötig ist, ist das realistisch betrachtet wohl höchstens für Streiche gut ).

 

[Sassicaia]

realistisch betrachtet wohl höchstens für Streiche gut

Das wird es sein:
Lieschen Müller hat einen Prinzen angelächelt und nun ist er ihr gnadenlos verfallen. Nun steht er unter ihrer Wohnung und versucht, seine physische Präsenz zu ihrer ferngesteuerten Steckdose herzustellen, da Lieschens Döschen unverschlüsselt erreichbar ist. Bei den Bordsteinschwalben mit der Enterprise-Lösung nebenan, lehnt sich der Lottel entspannt zurück und zählt weiter die Scheine.

Eine durchaus denkbare Motivation auf Basis angeborener, stark ausgeprägter Instinkte mancher Zeitgenossen abseits bösartiger, wirtschaftlicher Motivationen..............

 

[geheim5000]

Ziemlich dumm gedacht das Menschen die der englischen Sprache nicht mächtig sind zu faul sind.

Gibt Menschen die es mit Fremdsprachen ziemlich schwer haben (gehöre dazu), dafür oft in anderen Bereichen kein Probleme haben was dem "Sprachkünstler" wiederrum schwer fällt.

Hab wahrscheinlich mehr Englisch probiert zu lernen als viele andere, und behersche es dennoch eher schlecht.

Musste das mal loswerden.

 

[Hexcode]

z.B. um einen Schadlink in eine harmlose Mail einzubinden (wohl wenn diese nicht über HTTPS übertragen wird?).

Klugscheißer-Modus:

E-Mails werden per se übrigens nie per HTTPs übertragen (außer du öffnest das Ding im Browser, aber dann öffnest du eigentlich auch ne Webseite und keine E-Mail). Korrekter Weise liegt bei als den s-Protokollen eigentlich eine SSL- bzw. TLS Verschlüsselung dahinter. Heißt deine E-Mail wird per IMAPS/verschlüsselten IMAP abgerufen und per SMTPS/verschlüsselten SMTP von Server zu Server übertragen. Da ist nirgends HTTP beteiligt.

 

[passat3233]

Ziemlich dumm gedacht das Menschen die der englischen Sprache nicht mächtig sind zu faul sind.

Gibt Menschen die es mit Fremdsprachen ziemlich schwer haben (gehöre dazu), dafür oft in anderen Bereichen kein Probleme haben was dem "Sprachkünstler" wiederrum schwer fällt.

Hab wahrscheinlich mehr Englisch probiert zu lernen als viele andere, und behersche es dennoch eher schlecht.

Musste das mal loswerden.

Dann nutze doch einfach einen der Online-Übersetzer.

 

[geheim5000]

Dann nutze doch einfach einen der Online-Übersetzer.

Ging mir in dem Fall nur um deine Aussage.

 

[rudi70]

eine frage: wenn ich die WLAN funktion meines modems deaktiviere, bin ich dann geschützt vor fragattacks?

 

[0 8 15 User]

@rudi70, ja.

 

[taeddyyy]

wenn ich mir sowieso die originalquelle anschauen muss, wieviel sinn hat dann der artikel dazu noch? (aus sicht des lesers)

Das du auf das Problem aufmerksam gemacht wurdest und dich nun, falls gewollt, weiterführend informieren kannst.