Mel
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Mittwoch über eine neue Schwachstelle informiert, die potentiell jedes WLAN-Gerät betreffen kann. Die Schwachstelle selbst ist im Design des WLAN-Standards angelegt und bietet daher Möglichkeiten, dass diese ausgenutzt werden kann.
Sicherheitsforscher hatten die Schwachstelle unter der Bezeichnung „FragAttacks“ (Fragmentation and Aggregation Attacks) am Dienstag dieser Woche öffentlich gemacht. Grundsätzlich können alle Geräte betroffen sein, die über eine WLAN-Funktion verfügen, darunter Router und die damit verbundenen Geräte wie Rechner, Smartphones, Tablets und Smart Home-Produkte. Da die Sicherheitslücke im WLAN-Standard selbst begründet ist, kann sie herstellerübergreifend ausgenutzt werden. „Die verwendete Verschlüsselungstechnik spielt für Attacken ebenfalls keine Rolle“, berichtet das BSI.
Angriffe per WLAN sind wohl nur lokal möglich
Angriffe sind allerdings nach derzeitigem Kenntnisstand nur lokal möglich: Der Angreifer muss sich in der Reichweite eines Routers oder Access Points befinden, um Zugriff auf ein Gerät eines potentiellen Opfers zu erlangen. Gerade in Unternehmen ist dies jedoch oft schnell und einfach möglich, so dass das BSI von einer geschäftskritischen Bedrohungslage spricht. Ein PDF des BSI schildert die Sicherheitswarnung im Detail.
Das BSI empfiehlt „umgehend Herstellerwebseiten entsprechend der eingesetzten WLAN-Komponenten auf Informationen zu diesem Sachverhalt zu prüfen und bereitgestellte Patches zeitnah zu installieren.“ Das Bundesamt stellt darüber hinaus auch ein FragAttacks-Tool zur Verfügung, mit dem sich das eigene System checken lässt. Auch eine Umstellung auf HTTPS als Verschlüsselungsstandard soll helfen, einige der Lücken schwerer zugänglich zu gestalten. Der Hersteller AVM hat für den eigenen WLAN-Router Fritz!Box 7590 bereits ein Update auf Version 7.27 für das aktuelle FritzOS bereitgestellt.
Fabian
Leider antwortet AVM auf die wirklich einfach formulierte Frage, ob für die 7580 noch ein Sicherheitsupdate kommt, dass diese Lücke behebt, nur mit ausweichendem Geschwurbel. Es wird Zeit, dass sich in Deutschland mehr Konkurrenz auf dem Routermarkt entwickelt.
Da die 7580 erst 7.25 bekommen hat, kannst du davon ausgehen, dass diese auch eine 7.27 mit dem Sicherheitspatch bekommen wird
Das mag durchaus sein. Trotzdem hätte ich gerne eine verlässliche Aussage hierzu gehabt, dann wüsste ich nämlich, ob ich meinen Router in absehbarer Zeit austauschen muss.
AVM hat auf Twitter jedenfalls geantwortet: „Das wissen wir noch nicht.“
Auf den Hinweis, dass die 7580 zwar EOM, aber noch nicht EOS ist, kam nur ein elendig langer, nichtssagender Text über Updates für die 7590 und irgendwas über die Labor-Versionen haben sie auch noch geschrieben. Nichts davon hatte mit meiner ursprünglichen Frage zu tun, geschweige denn sie beantwortet.
AVM hat ein großes Kommunikationsproblem, ist Selbstherrlich und mit der Entwicklung ihrer mittlerweile gefühlt 317 verschiedenen Router-Varianten total überfordert.
Vielleicht würde es schon helfen Git für die Versionsverwaltung einzusetzen, dann müssten Bugs und Fehler nicht in der Hauptentwicklungslinie „mit“ gefixt werden, wo man dann monatelang drauf wartet weil die neuen Funktionen noch nicht zuende getestet sind.
Da die 7580 erst 7.25 bekommen hat, kannst du davon ausgehen, dass sie auch eine 7.27 mit dem Patch bekommen wird
einfach mal ein bisschen Geduld? Gibt dem Hersteller doch auch mal Zeit auf den Sachverhalt zu reagieren…
Der Hersteller hat reagiert. Nur in AVM typischer Weise: „Mal sehen“. Im Business Bereich würde AVM mit so einer Art und Weise schnell untergehen.
@kaixx:
haha, als ob alle Firmen im Business Bereich anders arbeiten würden.
AVM ist keine 5-Mann-Klitsche die mal so eben ein Statement raushaut.
Da arbeiten über 800 Personen, da muss jede Menge organisiert und geplant werden.
Ausserdem sind die Produkte+Software von AVM so gut, die würden auch im B2B gut abliefern.
Die Dauer-Nörgler können ja gerne auch zu Produkten der Mitbewerber wechseln.
Nur weil ich Kritik äußere, macht mich das nicht zum Dauernörgler. Wie viele von den 800 Mitarbeitern fragen sich eigentlich selbst, wann das nächste Update für ihre eigene FritzBox Zuhause veröffentlicht wird?
Bei Facebook hat AVM vor ein paar Wochen offiziell geäußert, dass keine 7590 AX geplant ist. Nur um dann jetzt eine 7590 AX zu veröffentlichen. Und jetzt erzähl mir nicht, dass das zu diesem Zeitpunkt noch nicht absehbar war.
AVM kann sich so eine beschissene Kommunikation nur erlauben, weil es kaum Alternativen in Deutschland gibt. Da kann man dann auch mal auf die paar unzufriedenen Kunden scheißen, die sich wahrscheinlich aufgrund der Aussage bei Facebook jetzt eine andere FritzBox gekauft haben und sich nun ärgern. Klar, das wäre jetzt nicht Welt, soll aber auch nur ein Beispiel für die insgesamt fragwürdige Kommunikation in den sozialen Netzwerken und des Supports sein.
@kaixx: Ich nutze Fritzboxen seit der FritzX, die hatte noch einen seriellen Anschluss ? Muss über 20 Jahre her sein. Seitdem nur Fritzboxen gehabt, vor wenigen Monaten gerade auf die 7590 aufgerüstet. Ich nutze meine Fritzboxen, immer das Flaggschiff-Modell, immer so 3-4 Jahre. Im Laufe von über 2 Jahrzehnten habe ich zwar nur sporadisch mit AVM kommuniziert, jedoch immer positive und hilfreiche Rückmeldungen bzw. Hilfe erhalten.
Über die 7590 AX ärgere ich mich übrigens nicht, die normale 7590 ist für meine Wohnung hervorragend ausgestattet, sie händelt ca. 25 dauerhafte WLAN-Clients und tagsüber normalerweise 2-3 gleichzeitige VPN-Verbindungen einwandfrei.
Ich habe seit ca. 1-2 Wochen massive Probleme mit dem WLAN (bspw. YouTube Videos laden nicht richtig und auch 9GAG) und iOS Geräten. Ich bin mir nicht sicher, ob das Auto Update der 7590 hier eine kluge Wahl war oder der Bug sogar bei iOS liegt.
Hat wer ähnliche Erfahrungen zur Zeit?