WPS-Lücke macht WLAN-Router unsicher

29. Dezember 2011, 12:45
  • security
  • sicherheit
  • lücke
  • cyberangriff
image

Das United States Computer Emergency Readiness Team (US-CERT) warnt vor einer Sicherheitslücke im bei vielen WLAN-Routern standardmässig aktivierten Wi-Fi Protected Setup (WPS).

Das United States Computer Emergency Readiness Team (US-CERT) warnt vor einer Sicherheitslücke im bei vielen WLAN-Routern standardmässig aktivierten Wi-Fi Protected Setup (WPS). Die Schwachstelle, die mutmasslich Millionen von Geräten betrifft, soll Brute-Force-Angriffe drastisch erleichtern, schreibt das US-Cert in einer "Vulnerability Note".
WPS, das es ermöglicht, neue Geräte auf einfache Weise einem vorhandenen WLAN-Netz hinzuzufügen und trotzdem eine WPA-Verschlüsselung zu nutzen, enthalte grundlegende konzeptionelle Fehler. Je mehr Login-Versuche gemacht werden, desto unsicherer wird die Sicherheit der achtstelligen PIN-Codes, denn ein vergeblicher Versuch verrät einem potentiellen Hacker, ob die ersten vier Stellen richtig sind. Auch die letzte Stelle ist bekannt, da sie die Prüfsumme der PIN bildet. Das reduziert die Anzahl der nötigen Versuche um ein vielfaches, so dass maximal 11'000 Login-Versuche nötig sind, um die Nummer herauszufinden. Nach der Rechnung von Stefan Viehbäck, dem Entdecker der Lücke, müssten für diese 11'000 Versuche zwischen 90 Minuten und maximal 10 Stunden eingeplant werden. Im Durchschnitt soll die PIN aber bereits nach rund 5'500 Sekunden gefunden sein.
Da die meisten Routerhersteller keine Massnahmen gegen Brute-Force-Angriffe in ihren Geräten implementiert haben, empfehlen sowohl das US-CERT als auch Viehböck den Nutzern, WPS zu deaktivieren. Die Hersteller wiederum sollen eine Begrenzung der möglichen Login-Versuche während einer bestimmten Zeitspanne in ihre Geräte einbauen, was mittels Firmware-Update auch auf bereits in Betrieb stehenden Geräten möglich wäre. (bt)

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023