WPA2 geknackt: Wie der neue WLAN-Hack funktioniert

Eine peinliche Lücke im WPS-Protokoll erlaubt einen Brute-Force-Angriff, der nach spätestens 11.000 Versuchen zum Erfolg führt. WLAN-Router von Belkin, Buffalo, D-Link, Linksys (Cisco), Netgear, Technicolor, TP-Link und Zyxel lassen sich in vier Stunden knacken.

WLAN Access Points, die mit WPA oder WPA2 geschützt sind, können ab sofort gehackt werden – jedenfalls die meisten. Denn Sicherheitsexperte Stefan Viehböck fand heraus, dass man in maximal vier Stunden die Geräte dazu überreden kann, das WPA-Passwort freiwillig mitzuteilen.

Schuld daran ist WPS. Das ist eine Technologie, die man in neueren WLAN-Routern findet. Sie soll dazu dienen, dass User mit weniger Erfahrung ihren Computer leichter ins WLAN bringen können. Anstelle eines selbstgewählten Passworts gibt man eine achtstellige PIN ein, die man sich garantiert nicht merken kann – also eine wahnsinnige Erleichterung.

Technisch gesehen teilt der Access Point dem Client das eigentliche WLAN-Passwort mit, wenn er die korrekte PIN eingibt. Problematisch ist aber, was passiert, wenn eine falsche PIN übermittelt wird. Eigentlich würde es ausreichen, wenn der Access Point einfach sein Passwort nicht herausgibt.

Das macht er auch nicht, aber er teilt dem Client freundlicherweise vorher mit, ob die ersten vier Stellen der PIN korrekt waren. Aus nicht nachvollziehbaren Gründen werden die vier ersten und vier letzten Stellen der PIN mit getrennten Nonces und Hashes validiert.

Ferner läuft der gesamte Authentifizierungsprozess in acht Schritten ab. In Schritt vier übermittelt der Client beide Hashes (R-Hash1 und R-Hash2), aber nur eine Nonce (R-S1). Falls der Hash nicht zur Nonce passt, schickt der Access Point eine Fehlermeldung. Da der Client bisher nur die erste Nonce übermittelt hat, weiß er, dass mit den ersten vier Stellen der PIN etwas nicht stimmt.

Erst in Schritt sechs übermittelt der Client die zweite Nonce (R-S2), die am Access Point überprüft und gegebenenfalls mit einem Fehler quittiert wird.

Mit einer simplen Brute-Force-Attacke braucht ein Hacker nur maximal 10.000 Versuche, um die ersten vier Stellen der PIN zu ermitteln. Theoretisch wären noch einmal bis zu 10.000 Versuche erforderlich, um die zweiten vier Stellen zu ermitteln. Da die letze Stelle der PIN eine Prüfziffer ist, reichen jedoch 1000. Das heißt nach spätestens 11.000 Versuchen, bekommt der Hacker das WLAN-Passwort.

Obwohl das Protokoll natürlich sicherheitstechnisch höchst problematisch ist, könnten Routerhersteller ihre Firmware besser gestalten. So sollte sich WPS grundsätzlich abschalten lassen. Der User kann es nur bei Bedarf aktivieren, um einen neuen Client einzubuchen, etwa ein Internet-Radio oder einen DLNA-Medienplayer, bei dem die Eingabe des alphanumerischen WLAN-Passworts mangels Tastatur umständlich ist. Aber bei einigen Access Points und WLAN-Routern geht nicht einmal das.

Auch nicht ganz neu ist der Trick, einen User nach fünf falschen PIN-Eingaben für 15 Minuten auszusperren. Die meisten Hersteller von Access Points kennen ihn aber noch nicht. Einige Modelle stürzen allerdings ab, wenn man viele falsche PINs übermittelt, und müssen rebootet werden. So kann man etwa den Router des Nachbarn leicht lahmlegen.

Zu guter Letzt sollten die Access Points nach Schritt vier einfach weitermachen und keine Fehlermeldung schicken, auch wenn eine falsche PIN eingegeben wurde, und erst nach Schritt sechs dem Client mitteilen, dass er das Passwort nicht bekommt. Dann wären immerhin bis zu zehn Millionen Versuche erforderlich, um das Gerät zu knacken.

Laut US-CERT sind Modelle der Hersteller Belkin, Buffalo, D-Link, Linksys (Cisco), Netgear, Technicolor, TP-Link und Zyxel betroffen. Von den Herstellern liegt dem CERT bis jetzt keine Stellungnahme vor.

Eine Fritzbox 7390 von AVM ist relativ sicher vor WPS-Attacken. Eine Brute-Force-Attacke ist nach spätestens zwei Minuten beendet.
Eine Fritzbox 7390 von AVM ist relativ sicher vor WPS-Attacken. Eine Brute-Force-Attacke ist nach spätestens zwei Minuten beendet.

Dass man es auch besser machen kann, zeigt AVM mit der Fritzbox. Auch wenn man nicht das Push-Button-Connect-Verfahren ohne PIN verwendet, nimmt die Fritzbox nach zwei Minuten keine Requests mehr an, bis der User es über das Webinterface wieder gestattet. Bei einer angenommenen Zeit von einer Sekunde pro Versuch, kann ein Hacker maximal 120 PINs ausprobieren.

Außerdem generiert die Fritzbox bei jeder Anmeldung eine neue Zufalls-PIN. Viele andere Router haben die PIN auf der Geräteunterseite aufgedruckt. Der neugierige Nachbar, der zu Besuch ist, wird sie sich möglicherweise in einem unbeobachteten Moment aufschreiben.

Nutzer sollten zur Sicherheit WPS an allen Access Points abschalten. Wenn das Gerät das nicht erlaubt, sollte man es sofort außer Betrieb setzen und durch ein anderes ersetzen. Ansonsten kann es passieren, dass bald eine Filesharing-Abmahnung ins Haus flattert. Bei der derzeitigen Rechtslage muss man faktisch seine Unschuld zweifelsfrei beweisen, selbst wenn man weder WLAN-Router noch Computer besitzt.

Neueste Kommentare 

7 Kommentare zu WPA2 geknackt: Wie der neue WLAN-Hack funktioniert

  • Am 2. August 2012 um 23:38 von Christoph

    Sorry, aber das ist ein WPS und kein WPA2 Hack!

  • Am 16. September 2012 um 18:23 von ................

    Die Überschrift ist irreführend unvollkommend disqualifizierend. WPA2 wurde nicht genackt.

  • Am 28. November 2012 um 13:12 von GM

    was stimmt jetzt????????????
    bitte antworten,
    brauch es für nen schulprojekt.
    DANKE

  • Am 14. Juli 2013 um 02:20 von Aircrack-NG

    Das ist definitiv kein WPA/WPA2 Hack, sondern ein Fehler in der Firmware, und außerdem noch abhängig davon das WPS vorhanden ist!!!!

  • Am 20. Juli 2013 um 09:22 von Jürgen

    Gute News allerdings ist die Überschrift irreführend.
    Hier wurde WPA2 nicht gehackt sondern WPS dazu benutzt
    um Zugriff zu erhalten.

    • Am 7. März 2014 um 22:13 von jak lol

      Wie geht das ich checks nich

  • Am 3. Februar 2014 um 11:43 von Marcus

    Ein bisschen weniger “Blöd-Zeitung-Stil” im Titel hätts auch getan, oder habt Ihr Angst das keiner den Artikel liest?

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *