Immer Ärger mit der EasyBox
Seite 2: Neue Lücken und nachhaltiger Schutz
Die neue alte Sicherheitslücke
Doch bald stellte sich heraus, dass sich ein Teil der ursprünglichen MAC-Adresse auch in der ebenfalls sichtbaren Standard-SSID wiederfindet. Dank einiger Anpassungen am Knack-Algorithmus bleiben damit dann nur etwa zwanzig mögliche WPA und WPS-Schlüssel übrig. Die alle durch zu probieren dauert nicht lange.
Ende März informierte heise Security Vodafone über diesen Umstand, worauf das Unternehmen beteuerte, dass nur "sehr wenige Kunden" das voreingestellte Passwort nutzen würden. Um diese ebenfalls zu schützen gäbe es ein Firmware-Update, welches eindeutig greifen würde, da nach dem Update in keinem einzigen Fall Kunden durch einen Angriff Schaden entstanden sei.
Außerdem versprach Vodafone ein Update, welches den Nutzer zwingen sollte, sein WLAN-Passwort zu ändern. Dessen Verteilung begann Ende März 2014. Allerdings erreichte es nur die 802er EasyBox-Router. Wir haben selbst bisher keine mit diesem Update versorgte EasyBox zu Gesicht bekommen und können daher keine Aussage darüber machen, ob WPS bei diesen Routern weiterhin angreifbar bleibt. Dafür berichten uns Hacker von sehr vielen EasyBox-Systemen, deren Funknetze sperrangelweit offen stehen.
Schlüssel auf Umwegen
Selbst wenn der Kunde das WPA-Passwort geändert hat, kommt ein Angreifer unter Umständen noch via WPS noch rein. Zwar hat die Easybox ein weiteres Sicherheits-Feature, das einem zuverlässig funktionierenden Angriff auf die WPS-PIN noch im Wege stehen könnte. Sie deaktiviert nämlich nach zehn Fehlversuchen die WPS-Schnittstelle bis zu einem Neustart. Doch auch diese Hürde hielt nicht lange.
So hat in der Zwischenzeit ein Sicherheitsforscher mit Pseudonym Warker das neue Firmware-Update analysiert und dabei den Algorithmus aufgedeckt, der aus der alten MAC-Adresse die neue generiert. Dieser nutzt als Eingabe Teile der alten MAC-Adresse und Serienummer. Durch die Kombination der vorhandenen Daten, also der SSID mit Teilen der alten MAC und der neuen MAC-Adresse lassen sich damit die möglichen Passwörter weiter eingrenzen. Übrig bleiben ein bis maximal zwei Varianten für die voreingestellten WPA- beziehungsweise WPS-Schlüssel.
Wurde das voreingestellte WPA-Passwort geändert, nimmt der Hacker also einen Umweg über WPS. Er berechnet dazu die Standard-WPS-PIN. Wurde die nicht ebenfalls umgestellt, kann er mit deren Hilfe und einem Tool wie dem öffentlich verfügbaren Reaver den neuen WPA-Schlüssel ermitteln. In Tests von heise Security gelang das erschreckend einfach.
Nach unserer Einschätzung steht damit ein großer Teil der EasyBox-Router, welche vor August 2011 hergestellt wurden (mit Ausnahme einiger 802er) für Hacker vollkommen offen. heise Security hat Vodafone erneut darüber in Kenntnis gesetzt.
Langfristiger Schutz
Wer eine der betroffenen EasyBoxen benutzt und sich nachhaltig schützen will, muss sowohl das vorgegebene WPA-Passwort als auch die WPS-PIN ändern oder WPS gleich ganz abschalten. Es reicht nicht aus, nur einen der beiden Schritte zu vollziehen. Wie das genau funktioniert, zeigt Vodafone in dem Video unten. Es ist zwar schon mehrere Monate alt, allerdings sind dieser Empfehlung den uns vorliegenden Berichten zufolge eine nennenswerte Anzahl Kunden noch nicht nachgekommen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(rei)
