Schadcode durch WLAN-Pakete
Durch eine Lücke in dem Standard-Tool wpa_supplicant können Angreifer anfällige Systeme über WLAN kompromittieren. Es kommt unter anderem bei Android und Linux zum Einsatz. Abhilfe schafft ein Patch, eine abgesicherte Version soll folgen.
- Ronald Eikenberg
Durch eine Schwachstelle in dem verbreiteten WLAN-Tool wpa_supplicant können Angreifer potenziell Schadcode über Funk in fremde Systeme einschleusen. Es kommt unter anderem bei Android und zahlreichen Linux-Distributionen zum Einsatz. Die Lücke klafft in der Funktion WiFi Direct, durch die WLAN-Clients ohne Router miteinander kommunizieren können.
Dabei macht einer der Clients einen virtuellen Accesspoint auf, mit dem sich der andere verbindet. Diese Peer-to-Peer-Verbindungen werden über spezielle Verwaltungspakete organisiert, sogenannte Probe Requests (und die dazugehörigen Responses) und P2P Public Action Frames. Darin steht unter anderem der Name des zu nutzenden WLAN (SSID). Diesen Wert überprüft wpa_supplicant nicht ausreichend – es kann zu einem Speicherüberlauf kommen. Den kann ein Angreifer ausnutzen, um verwundbare System lahm zu legen, Speicherinhalte auszulesen und potenziell sogar Schadcode zur Ausführung zu bringen. Er muss sich dazu freilich in Funkreichweite seines Opfers in spe befinden.
Laut den Entwicklern lässt sich die Lücke am einfachen ausnutzen, wenn das verwundbare System gerade aktiv nach WiFi-Direct-Geräten scannt. Es sei aber auch nicht auszuschließen, dass eine Attacke sogar dann gelingt, wenn das nicht der Fall ist. Wie akut das Problem tatsächlich ist, lässt sich derzeit noch nicht einschätzen. Ein Exploit ist aktuell noch nicht im Umlauf. Entdeckt hat die Lücke das Sicherheitsteam des Internethändlers Alibaba, gemeldet wurde sie von Google.
Schützen ist schwierig
Verwundbar sind die wpa_supplicant-Versionen 1.0 bis 2.4, wenn sie mit der Build-Option CONFIG_P2P kompiliert wurden. Abhilfe schafft ein Patch, für den man das Tool aber neu kompilieren muss. Er sorgt dafür, dass die Länge des SSID-Werts überprüft wird, ehe er in den Speicher kopiert wird. Zudem soll die kommende Version 2.5 das Sicherheitsloch schließen. Alternativ kann man die Funktion in der Konfigurationsdatei (normalerweise wpa_supplicant.conf) abschalten, indem man die Eigenschaft "p2p_disabled" auf 1 setzt. Knifflig wird es, wenn man ein System wie Android nutzt, wo man darauf angewiesen ist, dass der Hardware-Hersteller eine abgesicherte Firmware bereitstellt. Das Warten auf eine neue Firmware-Version ist nur allzu oft vergeblich. (rei)
