Pixel- und Nexus-Smartphones erhalten KRACK-Patch erst im Dezember

Google weicht erstmals von der Praxis ab, alle verfügbaren Android-Patches im selben Monat an seine Geräte auszuliefern. Die Folgen für Nutzer sind laut Ars Technica jedoch überschaubar. Android-Geräte kommunizieren von sich aus verschlüsselt mit vielen Apps, darunter Googles eigene Dienste.

Google hat gegenüber Ars Technica bestätigt, dass seine Pixel- und Nexus-Geräte im November nicht wie sonst üblich alle Android-Sicherheitspatches eines Monats sofort erhalten. Ausgenommen ist dieses mal der Patch mit der Sicherheitsebene 6. November. Er umfasst ausschließlich die Schwachstellen, die für den KRACK genannten Angriff auf die WPA2-Verschlüsselung von WLAN-Netzen benutzt werden.

Google Pixel 2 und Google Pixel XL (Bild: Google)Das Geräte anderer Hersteller die Sicherheitsfixes nur mit einer „gewissen“ zeitlichen Verzögerung erhalten, ist nicht neu. Google teilt die Fehlerkorrekturen sogar bewusst auf mehrere Patches auf, damit seine Partner die Möglichkeit haben, sie schrittweise in ihre eigene Software zu implementieren. Samsung beispielsweise macht von dieser Regelung jeden Monat Gebrauch – die Smartphones der Koreaner erhalten mit dem monatlichen Update immer nur den auf den ersten des Monats datierten Patch – die restlichen Patches folgen im Monat danach.

Allerdings betont Ars Technica auch, dass die Verzögerung in diesem Fall kein großes Problem darstellt. Die KRACK-Schwachstellen erlauben es einem Angreifer, während sich ein Client wie beispielsweise ein Android-Smartphone mit einem verschlüsselten WLAN-Netz verbindet, Daten zu sammeln, die eine Anmeldung ohne gültiges WLAN-Passwort ermöglichen. Davon sollen laut den Forschern, die die Anfälligkeiten entdeckt haben, vor allem Linux-Clients und Geräte mit Android 6.0 Marshmallow und neuer betroffen sein.

Tatsächlich bedeutet das Umgehen der WPA2-Verschlüsselung in erster Linie, dass sich Clients mit beliebigen WLAN-Netzwerken verbinden können, sobald sie sich in der Nähe eines ungepatchten Clients befinden, der gerade eine Verbindung herstellt. Ars Technica vergleicht das Eindringen in ein verschlüsseltes WLAN-Netz mit einem offenen WLAN-Hotspot in einem Café, dessen Netz man sich mit 25 anderen Personen teilt. Android „sei es gewohnt“, in solchen Umgebungen zu kommunizieren, heißt es in dem Bericht.

Beispielsweise stellten Android-Geräte stets nur verschlüsselte Verbindungen zu Googles Play Services her, um Updates über den Play Store zu beziehen, Daten in Google Drive zu sichern oder Bilder mit Google Fotos zu synchronisieren. Damit sei sichergestellt, dass auch in unverschlüsselten WLAN-Netzwerken ein Zugriff auf Nutzerdaten unmöglich sei. Auch jegliche per sicherem HTTP (HTTPS) verschlüsselte Websites gäben keinerlei Daten in einem unverschlüsselten Netzwerk preis. Welche Apps von Drittanbietern verschlüsselt mit ihren Servern kommunizieren und von daher bedenkenlos ohne KRACK-Patches genutzt werden können, können Nutzer jedoch nicht erkennen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Google, Nexus, Pixel, Security, Sicherheit, Verschlüsselung, WLAN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Pixel- und Nexus-Smartphones erhalten KRACK-Patch erst im Dezember

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *