Nicht alle Router anfällig für WPS-Lücke

WLAN mit WPS ist unsicher ab Werk. Manche Router beugen darum durch Blockierzeiten bei Fehlversuchen allzu einfachen Einbrüchen vor oder aktivieren WPS nur auf Anforderung.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Reiko Kaps

Bei Fritzboxen ist WPS zwar aktiv, muss vom Nutzer aber ausdrücklich gestartet werden.

Der Netzwerkausrüster AVM hat sich zur kurz vor dem Jahreswechsel bekannt gewordenen Lücke im WLAN-Einrichtungsverfahren WPS (WiFi Protected Setup) geäußert. Laut der knappen Mitteilung sind AVMs Fritzboxen nicht von diesem Fehler betroffen, da sie WPS nur auf ausdrücklichen Wunsch des Nutzers und für eine kurze Zeit aktivieren. In den anschließenden zwei Minuten könnte sich ein WLAN-Client beim Router die Einrichtungsdaten respektive die Passphrase via WPS abholen, danach deaktiviert die Fritzbox-Firmware das Verfahren automatisch. Kontaktiert ein zweiter WLAN-Client parallel dazu den Router per WPS, schalten die Fritzboxen das Verfahren umgehend ab, erläutert AVM weiter.

WPS gehört nicht zum eigentlichen WLAN-Standard IEEE 802.11. Die nun entdeckte Lücke wirkt sich also nicht auf die dort beschriebenen, zugrunde liegenden Verschlüsselungsverfahren WPA2 oder WPA aus, sie öffnet jedoch einen Weg, um an die WLAN-Zugangsdaten zu gelangen. Die WPS-Spezifikation stammt vom Industriekonsortium WiFi Alliance, das sich bislang nicht zu dem Problem geäußert hat.

Mit WPS sollen sich WLAN-Geräte eigentlich einfach und sicher in Funknetze einbinden lassen: Über einen Knopfdruck am Router oder eine vorgegebene PIN lässt sich das als sicher erachtete Verschlüsselungsverfahren WPA2 respektive WPA einrichten. Auswählen des Funknetzes aus einer Liste und Eingabe des WPA-Passwort ist dazu nicht mehr notwendig.

Nach den Analysen ist gerade die letzte dieser WPS-Methoden ("external registrar", PIN-Eingabe auf dem WLAN-Client) anfällig für Brute-Force-Angriffe, denn sie benötigt keine weitere Authentifizierung. Eine WPS-PIN besteht typischerweise aus acht Ziffern, die letzte ist jedoch eine Prüfsumme der vorhergehenden sieben Stellen. Ein weiterer Design-Fehler senkt die Zahl der maximal nötigen Angriffsversuche von 107 (10 Millionen) auf 104 + 103 (11.000): WPS sieht auch einen Schlüsselaustausch über vierstellige PINs vor. Deshalb überprüft es die ersten vier Ziffern direkt nach deren Übermittlung und quittiert Fehler umgehend. Ähnlich verfährt WPS mit den letzten drei Ziffern. Wurde eine korrekte PIN gesendet, übermittelt der Access Point ein Einrichtungspaket samt des WPA/WPA2-Passworts.

Als schnelle Gegenmaßnahme empfiehlt der Entdecker der Sicherheitslücke Stefan Viehböck WPS auf dem Router abzuschalten. Laut Viehböck könnten Router-Hersteller des Weiteren einen Lock-Down-Mechanismus nachrüsten, der WPS nach einer bestimmten Zahl von Verbindungsversuchen etwa für eine Stunde deaktiviert. Setzt man hier als Schwelle beispielsweise fünf Anmeldeversuche, verlängert sich die maximale Angriffsdauer von knapp 4 Stunden auf über 90 Tage.

Viehböck hat mittlerweile das in Python geschriebene WPS-Brute-Force-Tool wpscrack veröffentlicht, mit dem sich die Lücke ausnutzen lässt. Als Alternative steht das Programm Reaver von Craig Heffner bereit, der ebenfalls auf die Lücke gestoßen war. (rek)