Pixel- und Nexus-Smartphones erhalten KRACK-Patch erst im Dezember

von Stefan Beiersmann am , 14:58 Uhr

Google weicht erstmals von der Praxis ab, alle verfügbaren Android-Patches im selben Monat an seine Geräte auszuliefern. Die Folgen für Nutzer sind laut Ars Technica jedoch überschaubar. Android-Geräte kommunizieren von sich aus verschlüsselt mit vielen Apps, darunter Googles eigene Dienste.

Google [1] hat gegenüber Ars Technica [2] bestätigt, dass seine Pixel- und Nexus [3]-Geräte im November nicht wie sonst üblich alle Android [4]-Sicherheitspatches eines Monats sofort erhalten. Ausgenommen ist dieses mal der Patch mit der Sicherheitsebene 6. November [5]. Er umfasst ausschließlich die Schwachstellen, die für den KRACK [6] genannten Angriff auf die WPA2-Verschlüsselung von WLAN-Netzen benutzt werden.

Google Pixel 2 und Google Pixel XL (Bild: Google) [7]Das Geräte anderer Hersteller die Sicherheitsfixes nur mit einer „gewissen“ zeitlichen Verzögerung erhalten, ist nicht neu. Google teilt die Fehlerkorrekturen sogar bewusst auf mehrere Patches auf, damit seine Partner die Möglichkeit haben, sie schrittweise in ihre eigene Software zu implementieren. Samsung [8] beispielsweise macht von dieser Regelung jeden Monat Gebrauch – die Smartphones der Koreaner erhalten mit dem monatlichen Update immer nur den auf den ersten des Monats datierten Patch – die restlichen Patches folgen im Monat danach.

Allerdings betont Ars Technica auch, dass die Verzögerung in diesem Fall kein großes Problem darstellt. Die KRACK-Schwachstellen erlauben es einem Angreifer, während sich ein Client wie beispielsweise ein Android-Smartphone mit einem verschlüsselten WLAN-Netz verbindet, Daten zu sammeln, die eine Anmeldung ohne gültiges WLAN-Passwort ermöglichen. Davon sollen laut den Forschern, die die Anfälligkeiten entdeckt haben, vor allem Linux-Clients und Geräte mit Android 6.0 Marshmallow und neuer betroffen sein.

Tatsächlich bedeutet das Umgehen der WPA2-Verschlüsselung in erster Linie, dass sich Clients mit beliebigen WLAN-Netzwerken verbinden können, sobald sie sich in der Nähe eines ungepatchten Clients befinden, der gerade eine Verbindung herstellt. Ars Technica vergleicht das Eindringen in ein verschlüsseltes WLAN-Netz mit einem offenen WLAN-Hotspot in einem Café, dessen Netz man sich mit 25 anderen Personen teilt. Android „sei es gewohnt“, in solchen Umgebungen zu kommunizieren, heißt es in dem Bericht.

Beispielsweise stellten Android-Geräte stets nur verschlüsselte Verbindungen zu Googles Play Services her, um Updates über den Play Store zu beziehen, Daten in Google Drive zu sichern oder Bilder mit Google Fotos zu synchronisieren. Damit sei sichergestellt, dass auch in unverschlüsselten WLAN-Netzwerken ein Zugriff auf Nutzerdaten unmöglich sei. Auch jegliche per sicherem HTTP (HTTPS) verschlüsselte Websites gäben keinerlei Daten in einem unverschlüsselten Netzwerk preis. Welche Apps von Drittanbietern verschlüsselt mit ihren Servern kommunizieren und von daher bedenkenlos ohne KRACK-Patches genutzt werden können, können Nutzer jedoch nicht erkennen.

ANZEIGE

Aktuelle Studie zur Dokumentensicherheit in deutschen Büros [9]

Eine aktuelle Statista-Umfrage (im Auftrag von KYOCERA Document Solutions) hat ergeben: Der deutsche Mittelstand hat Nachholbedarf beim Thema Dokumentensicherheit. Mehr als die Hälfte der befragten Mitarbeiter hat Zugriff auf Dokumente, die nicht für sie bestimmt sind. Weitere Infos und Tipps zur Optimierung erhalten Sie im gratis E-Book. Jetzt herunterladen!

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de [10]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88317933/pixel-und-nexus-smartphones-erhalten-krack-patch-erst-im-dezember/

URLs in this post:

[1] Google: http://www.zdnet.de/unternehmen/google/

[2] Ars Technica: https://arstechnica.com/gadgets/2017/11/pixel-wont-get-krack-fix-until-december-but-is-that-really-a-big-deal/

[3] Nexus: http://www.zdnet.de/themen/nexus/

[4] Android: http://www.zdnet.de/themen/android/

[5] Patch mit der Sicherheitsebene 6. November: http://www.zdnet.de/88317487/android-patchday-google-stopft-31-zum-teil-kritische-sicherheitsloecher/

[6] KRACK: http://www.zdnet.de/88315623/bericht-kritische-luecke-im-wpa2-protokoll-erlaubt-das-abhoeren-von-wlan-traffic/

[7] Image: http://www.zdnet.de/wp-content/uploads/2017/10/Google-Pixel-2-ab.jpg

[8] Samsung: http://www.zdnet.de/unternehmen/samsung/

[9] Aktuelle Studie zur Dokumentensicherheit in deutschen Büros: http://asn.advolution.de/0001531c5F0012226/?rnd=[cachebuster]

[10] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de: http://www.silicon.de/survey/sind-sie-ein-android-kenner/