Sicherheitslücke in WLAN-Routern – Schwachstelle automatische WPS-Funktion

Sicherheitslücke in WLAN-Routern - Schwachstelle automatische WPS-Funktion

Nutzer eines WLAN-Routers haben unterschiedliche Möglichkeiten, ein neues Gerät in ihr WLAN-Netzwerk einzubinden. Viele WLAN-Router bieten dafür auch die WPS-Funktion. WPS steht für Wi-Fi Protected Setup und wurde 2007 von der Wi-Fi Allianz eingeführt. Mithilfe dieser Funktion können einfach und schnell verschlüsselte Verbindungen zu WLAN-Netzwerken eingerichtet werden. Der österreichische Student Stefan Viehböck hat eine Sicherheitslücke bekannt gemacht, die Unberechtigten den relativ einfachen Zugriff auf ein fremdes Netzwerk ermöglicht. Die Schwachstelle betrifft die automatische WPS-Funktion, bei der in das hinzu zu fügende Gerät ein PIN eingegeben werden muss. Die acht Ziffern dieses WPA/WPA2-Schlüssels können von potentiellen Angreifern recht einfach „erraten„ werden. Sendet das Gerät diese PIN an den WLAN-Router, gibt der Router preis, welcher Teil der Ziffernfolge korrekt eingegeben wurde. Die letzte Ziffer der PIN ist ohnehin nur eine Prüfsumme der ersten sieben Stellen. Insgesamt reduziert sich so die Anzahl der nötigen Versuche die PIN herauszufinden auf 11.000. Der Student entwickelte ein Programm, mit dem ein automatisches Ausprobieren der PIN möglich ist. Ausgehend von einer halben bis drei Sekunden pro Authentifizierungsversuch benötigen Angreifer demnach lediglich zwischen 90 Minuten und 10 Stunden, um eine solche PIN herauszufinden und ihr Gerät in ein fremdes WLAN-Netzwerk einbinden zu können.

Andere, halbautomatische WPS Methoden, bei denen eine PIN in den WLAN-Router eingegeben wird oder ein Knopf an dem Router gedrückt werden muss, um ein neues Gerät in das Netzwerk zu integrieren, sind nicht betroffen. In diesen Fällen muss nämlich der Betreiber des Netzwerks tätig werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, an WLAN-Routern und Access Points das automatische WPS per PIN-Eingabe in dem Menü des Routers zu deaktivieren. Ist diese Auswahl nicht möglich, sollte die WPS-Funktion komplett ausgeschaltet werden.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Achtung, Falle – warum am Telefon nicht „Ja“ gesagt werden sollte

Achtung, Falle

Warum am Telefon nicht „Ja“ gesagt werden sollte

Mit der „Ja-Masche“ versuchen die Anrufer arglosen Verbrauchern am Telefon ein „Ja“ zu entlocken und damit einen Vertragsabschluss zu begründen. Die Verbraucherzentrale klärt auf, dass entsprechende Vertragsabschlüsse nicht rechtens sind. Dennoch sollten Verbraucher vorsichtig sein. […]

Erste Vorgaben für die Gatekeeper – das ändert sich für Internetnutzer

Erste Vorgaben für die Gatekeeper

Das ändert sich für Internetnutzer

Die Tech-Riesen wie Google, Meta und Co. unterliegen ab sofort einer besonderen Regulation. Die verschiedene EU-Vorschriften, die bis März 2024 müssen, wirken sich auch auf die Nutzer ihrer Dienste aus. Daraus ergeben sich viele neue Möglichkeiten. […]