Publish Date
20th Oktober, 2017
News Type
Nachrichten

Update 21.11.2017
Wie unten beschrieben, sind die Router von Genexis nicht von der Sicherheitslücke betroffen.
Patches für GeneOS-Software zur Risikominderung bei unsicheren Clients wurden bereits integriert.
Bei der DRGOS-Software veröffentlichen Chip-Hersteller aufgrund von zu erwartenden Kompatibilitätsproblemen zwischen Routern und Clients keine zusätzlichen Patches für unsichere Clients.
Im Allgemeinen empfehlen wir Endbenutzern, alle WLAN-Clients so bald wie möglich zu aktualisieren.


Genexis ist seit dem 16. Oktober auf das WPA2 „KRACK“-Problem aufmerksam geworden.

Da Genexis den Access Point Mode mit 802.11r nicht verwendet, sind unsere Router von dieser Sicherheitslücke selbst nicht betroffen. Ein möglicher theoretischer Krack-Angriff richtet sich gegen die WLAN-Verbindung eines Clients, der sich im WLAN anmeldet.

Um dieser Lücke ebenfalls von der Router Seite zu begegnen ist Genexis seit dem 17. Oktober in Kontakt mit allen WLAN-Chip-Herstellern, die an unseren WLAN-Produkten beteiligt sind. Sobald bestätigt wird, dass ein Produkt oder eine Produktlinie durch ein FW Patch des Chip-Herstellers abgesichert werden kann, wird Genexis dies in eine neue Softwareversion von DRGOS und GeneOS integrieren und diese neue Firmware an alle Betreiber liefern. Der Operator aktualisiert dann automatisch alle Router im Feld.

Um die WLAN-Kommunikation zwischen einem unsicheren Client (wie z.B. Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind mehrere Voraussetzungen gleichzeitig notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Clients sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Client und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Client sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Client sein als der Access Point. Je nach Ausführung des Clients können nach aktueller Informationslage nur die Sendedaten des Clients mitgelesen werden.

Unabhängig von WLAN sind relevante Verbindungen auf höheren Ebenen verschlüsselt. Dazu zählen HTTPS-Verbindungen (Suchanfragen, Online-Banking, Online-Einkauf, Facebook, WhatsApp etc.), die man über das Schlosssymbol bzw. der grünen Anzeige bei der Browseradresse erkennen kann. Diese Verschlüsselung ist weiterhin sicher.
Zu keiner Zeit ist es mit der Krack-genannten Sicherheitslücke möglich, ein vollständiger Teilnehmer eines fremden WLANs zu werden.

Ausgehend von der Schwierigkeit des Angriffes, der zwingenden Notwendigkeit vor Ort zu sein und der weiterhin aktiven Verschlüsselung auf höheren Ebenen, erscheint die praktische Bedeutung der Krack-Lücke gering.