Categories: MobileWLAN

Krack: Eset warnt vor Schwachstellen in Echo- und Kindle-Geräten

Der tschechische Sicherheitsanbieter Eset hat mehrere Sicherheitslücken in mit dem Sprachassistenten Alexa ausgestatteten Amazon-Echo-Geräten entdeckt. Sie erlauben es, einen bereits 2017 beschriebenen Angriff namens Krack gegen die WLAN-Verschlüsselung auszuführen. Dafür ist auch mindestens eine Generation des E-Readers Kindle anfällig.

Krack nutzt Fehler im Vier-Wege-Handshake beim Verbindungsaufbau aus. Client und Access Point verfügen jeweils über die Anmeldeinformationen und handeln zusätzlich den für die Verschlüsselung benötigten Schlüssel aus. Die belgischen Forscher Mathy Vanhoef und Frank Piessens stellten jedoch fest, dass ein Angreifer einen Client dazu bringen kann, das Schlüsselpaar erneut zu initialisieren, indem kryptografische Handshake-Nachrichten neu erstellt und wiedergegeben werden. Als Folge kann der XOR-Datenstrom zumindest schrittweise rekonstruiert und dann der Netzwerkverkehr abgehört werden.

Obwohl seit 2017 bekannt, sind laut Eset vor allem im Smart-Home-Segment nicht alle Produkte ausreichend gepatcht. Die Forscher des Unternehmens untersuchten die erste Echo-Generation und die achte Kindle-Generation. Zwei Krack-Sicherheitslücken fanden sie in beiden Geräte-Typen.

In der Praxis soll es nun möglich sein, alte Netzwerkpakete neu einzuspielen und einen Denial-of-Service auszulösen, was schließlich zum Verlust der Netzwerkverbindung führen würde. Es lassen sich aber offenbar auch vom Opfer übermittelte Daten entschlüsseln und, in Abhängigkeit von der Netzwerkonfiguration, Datenpakete fälschen oder Pakete vom Gerät abweisen. Schließlich ist es den Forschern sogar gelungen, vertrauliche Daten wie Passwörter und Session Cookies abzufangen.

Darüber hinaus fanden die Forscher eine weitere Anfälligkeit, die nicht zu den Krack-Angriffen gehört. Sie führten erfolgreich einen Broadcast Replay Attack aus, bei dem gültige Broadcast-Transmissionen solange wiederholt werden, bis ein Gerät sie akzeptiert. Auch hier ist ein Denial-of-Service möglich. Angreifer könnten aber auch Pakete für künftige Krypto-Analysen oder Brute-Force-Angriffe sammeln.

Amazon wurde bereits am 23. Oktober 2018 über die Sicherheitslücken informiert. Am 8. Januar 2019 teilte das Unternehmen den Eset-Forschern mit, die Anfälligkeiten seien beseitigt und Patches stünden zum Download bereit. Nutzer betroffener Echo- und Kindle-Geräte sollten von daher sichererstellen, dass sie die aktuellste Firmware verwenden.

WEBINAR

BlackBerry CylancePERSONA – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

DxOMark: Huawei P40 Pro übernimmt Platz 1

Mit einem Gesamtergebnis von 128 Punkten übernimmt das Huawei P40 Pro im Kameratest bei DxOMark die Führung vor dem Oppo…

2 Minuten ago

Microsoft stellt neue Funktionen für Chromium Edge vor

Darunter ist ein Passwort-Monitor. Er gleicht gespeicherte Kennwörter mit Datenfunden aus dem Dark Web ab. Die Tab-Leiste zeigt Edge künftig…

2 Stunden ago

Windows 10: Patches sollen Verbindungsprobleme beheben

Die Patches für die betroffenen Windows-10-Versionen werden nicht über die Update-Funktion ausgeliefert. Stattdessen ist eine manuelle Installation möglich.

3 Stunden ago

Inoffizieller Patch für Windows-Zero-Day-Lücke veröffentlicht

Er steht derzeit nur für Windows 7 und Server 2008 R2 zur Verfügung. Der Patch verhindert die Nutzung der anfälligen…

4 Stunden ago

Bericht: US-Behörden nutzen Standortdaten von mobilen Anzeigen für Covid-19-Forschung

Die Daten stehen offenbar der Seuchenbehörde CDC zur Verfügung. Sie sind anonymisiert und sollen Menschenansammlungen aufdecken. Behörden wollen aber auch…

6 Stunden ago

Trotz eigener App Gallery: Huawei plant Rückkehr zu Google Services

Mit den eigenen Mobilie Services will Huawei Nutzern künftig mehr Auswahl bieten. Die App Gallery wird Lücken im Angebot aber…

8 Stunden ago