Krack: Eset warnt vor Schwachstellen in Echo- und Kindle-Geräten

Sie sind anfällig für die Krack genannten Angriffe auf die WPA2-Verschlüsselung von WLAN-Netzen. Die Fehler stecken in Echo-Geräten der ersten Generation und den Kindle-Readern der achten Generation. Amazon bietet bereits seit Januar 2019 Patches an.

Der tschechische Sicherheitsanbieter Eset hat mehrere Sicherheitslücken in mit dem Sprachassistenten Alexa ausgestatteten Amazon-Echo-Geräten entdeckt. Sie erlauben es, einen bereits 2017 beschriebenen Angriff namens Krack gegen die WLAN-Verschlüsselung auszuführen. Dafür ist auch mindestens eine Generation des E-Readers Kindle anfällig.

Amazon Echo (Bild: Amazon)Krack nutzt Fehler im Vier-Wege-Handshake beim Verbindungsaufbau aus. Client und Access Point verfügen jeweils über die Anmeldeinformationen und handeln zusätzlich den für die Verschlüsselung benötigten Schlüssel aus. Die belgischen Forscher Mathy Vanhoef und Frank Piessens stellten jedoch fest, dass ein Angreifer einen Client dazu bringen kann, das Schlüsselpaar erneut zu initialisieren, indem kryptografische Handshake-Nachrichten neu erstellt und wiedergegeben werden. Als Folge kann der XOR-Datenstrom zumindest schrittweise rekonstruiert und dann der Netzwerkverkehr abgehört werden.

Obwohl seit 2017 bekannt, sind laut Eset vor allem im Smart-Home-Segment nicht alle Produkte ausreichend gepatcht. Die Forscher des Unternehmens untersuchten die erste Echo-Generation und die achte Kindle-Generation. Zwei Krack-Sicherheitslücken fanden sie in beiden Geräte-Typen.

In der Praxis soll es nun möglich sein, alte Netzwerkpakete neu einzuspielen und einen Denial-of-Service auszulösen, was schließlich zum Verlust der Netzwerkverbindung führen würde. Es lassen sich aber offenbar auch vom Opfer übermittelte Daten entschlüsseln und, in Abhängigkeit von der Netzwerkonfiguration, Datenpakete fälschen oder Pakete vom Gerät abweisen. Schließlich ist es den Forschern sogar gelungen, vertrauliche Daten wie Passwörter und Session Cookies abzufangen.

Darüber hinaus fanden die Forscher eine weitere Anfälligkeit, die nicht zu den Krack-Angriffen gehört. Sie führten erfolgreich einen Broadcast Replay Attack aus, bei dem gültige Broadcast-Transmissionen solange wiederholt werden, bis ein Gerät sie akzeptiert. Auch hier ist ein Denial-of-Service möglich. Angreifer könnten aber auch Pakete für künftige Krypto-Analysen oder Brute-Force-Angriffe sammeln.

Amazon wurde bereits am 23. Oktober 2018 über die Sicherheitslücken informiert. Am 8. Januar 2019 teilte das Unternehmen den Eset-Forschern mit, die Anfälligkeiten seien beseitigt und Patches stünden zum Download bereit. Nutzer betroffener Echo- und Kindle-Geräte sollten von daher sichererstellen, dass sie die aktuellste Firmware verwenden.

WEBINAR

Webinar-Aufzeichnung: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet. Jetzt registrieren und Webinar-Aufzeichnung ansehen.

Themenseiten: Amazon, Echo, Eset, Internet of Things, Security, Sicherheit, Smart Home

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Krack: Eset warnt vor Schwachstellen in Echo- und Kindle-Geräten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *