Sicherheitslücke in WLANs: WPS-PIN berechenbar

Fritzbox7490Ein Schweizer Sicherheitsforscher hat in einer Präsentation erklärt, wie Hacker in wenigen Schritten das WiFi Protected Setup (WPS) von Routern knacken können, um sich ohne Kenntnis des eingestellten WPA-Passworts mit dem WLAN zu verbinden. Dazureicht es aus, die beim Koppelverfahren WPS-PIN zwischen Client und Router verwendete achtstellige Kennzahl zu berechnen.

Das sei durch passives Abhören des WLAN-Verkehrs bei Routern möglich, deren WPS-Funktion auf den Entwicklungsvorlagen (Software Development Kit) von Broadcom oder einem anderen, von dem Forscher nicht genannten Chiphersteller aufsetzt.

Bei den beiden genannten SDKs arbeiten die Zufallsgeneratoren nicht zuverlässig. Der Forscher empfiehlt deshalb, WPS generell abzuschalten. Welche Router-Modelle davon betroffen sind, ist noch nicht absehbar, weil viele Hersteller mehr oder weniger große Teile ihrer Firmware ohne Überprüfung aus den SDK übernehmen.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Mobilgeräte, Programmierung, Sicherheit abgelegt und mit , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitslücke in WLANs: WPS-PIN berechenbar

  1. Klaus sagt:

    Das ist ja eigentlich dasselbe Verfahren – der Dienst läuft nur nicht immer sondern wird erst erst auf Knopfdruck an der Box aktiviert und dann nach zwei Minuten wieder deaktiviert. Aber im Grunde hast Du Recht, wer eine Fritzbox hat, braucht sich um die WPS-PIN-Sicherheitslücke kaum Gedanken machen…

  2. The-Hop sagt:

    Da ist das Bild aber äußert ungünstig gewählt. Die FritzBox nutzt per Default erst einmal das WPS-PBC-Verfahren (Push-Button), nicht die PIN-Methode.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.