Categories: MobileWLAN

Krack: Eset warnt vor Schwachstellen in Echo- und Kindle-Geräten

Der tschechische Sicherheitsanbieter Eset hat mehrere Sicherheitslücken in mit dem Sprachassistenten Alexa ausgestatteten Amazon-Echo-Geräten entdeckt. Sie erlauben es, einen bereits 2017 beschriebenen Angriff namens Krack gegen die WLAN-Verschlüsselung auszuführen. Dafür ist auch mindestens eine Generation des E-Readers Kindle anfällig.

Krack nutzt Fehler im Vier-Wege-Handshake beim Verbindungsaufbau aus. Client und Access Point verfügen jeweils über die Anmeldeinformationen und handeln zusätzlich den für die Verschlüsselung benötigten Schlüssel aus. Die belgischen Forscher Mathy Vanhoef und Frank Piessens stellten jedoch fest, dass ein Angreifer einen Client dazu bringen kann, das Schlüsselpaar erneut zu initialisieren, indem kryptografische Handshake-Nachrichten neu erstellt und wiedergegeben werden. Als Folge kann der XOR-Datenstrom zumindest schrittweise rekonstruiert und dann der Netzwerkverkehr abgehört werden.

Obwohl seit 2017 bekannt, sind laut Eset vor allem im Smart-Home-Segment nicht alle Produkte ausreichend gepatcht. Die Forscher des Unternehmens untersuchten die erste Echo-Generation und die achte Kindle-Generation. Zwei Krack-Sicherheitslücken fanden sie in beiden Geräte-Typen.

In der Praxis soll es nun möglich sein, alte Netzwerkpakete neu einzuspielen und einen Denial-of-Service auszulösen, was schließlich zum Verlust der Netzwerkverbindung führen würde. Es lassen sich aber offenbar auch vom Opfer übermittelte Daten entschlüsseln und, in Abhängigkeit von der Netzwerkonfiguration, Datenpakete fälschen oder Pakete vom Gerät abweisen. Schließlich ist es den Forschern sogar gelungen, vertrauliche Daten wie Passwörter und Session Cookies abzufangen.

Darüber hinaus fanden die Forscher eine weitere Anfälligkeit, die nicht zu den Krack-Angriffen gehört. Sie führten erfolgreich einen Broadcast Replay Attack aus, bei dem gültige Broadcast-Transmissionen solange wiederholt werden, bis ein Gerät sie akzeptiert. Auch hier ist ein Denial-of-Service möglich. Angreifer könnten aber auch Pakete für künftige Krypto-Analysen oder Brute-Force-Angriffe sammeln.

Amazon wurde bereits am 23. Oktober 2018 über die Sicherheitslücken informiert. Am 8. Januar 2019 teilte das Unternehmen den Eset-Forschern mit, die Anfälligkeiten seien beseitigt und Patches stünden zum Download bereit. Nutzer betroffener Echo- und Kindle-Geräte sollten von daher sichererstellen, dass sie die aktuellste Firmware verwenden.

WEBINAR

Webinar-Aufzeichnung: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet. Jetzt registrieren und Webinar-Aufzeichnung ansehen.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Weihnachts-Rabatt: Saugroboter ab 200 Euro im Angebot

Gearbest bietet den 360 S7 aktuell für knapp 337 Euro an. Der Roborock S5 Max, der über eine verbesserte Wischfunktion…

1 Tag ago

HPE Discover More 2019 in München

Vor rund zwei Jahren verkündete HPE seine neue Strategie, alle Hardwareprodukte in einigen Jahren auch On Premises as-a-Service anzubieten. Auf…

1 Tag ago

5G-Ausbau: Telefónica setzt auf Huawei und Nokia

Die Zusammenarbeit mit Huawei und Nokia beim Aufbau eines 5G-Netzes ist allerdings abhängig von einer erfolgreichen Sicherheits-Zertifizierung der Technologie und…

1 Tag ago

Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Der Patch Tuesday vom Dezember 2019 behebt 36 Schwachstellen, von denen sieben als "kritisch" eingestuft werden. KB4530684 hebt die Build-Nummer…

1 Tag ago

Chrome 79 integriert Überprüfung von Passwörtern

Außerdem bietet die neue Chrome-Version weitere Funktionen zur Verbesserung der Sicherheit. Dazu zählt etwa ein Echtzeit-Blacklisting bösartiger Websites.

1 Tag ago

Galaxy S7 und Galaxy S7 Edge: November-Patch wird ausgeliefert

Das Update steht allerdings nur für bestimmte Geräte zur Verfügung. Hierbei handelt es sich um die in der DACH-Region vertriebenen…

1 Tag ago