KRACK - WPA2 Fix

W

Waishon

Ambitioniertes Mitglied
22
Moin,

falls es bezüglich BQ bereits ein solches Thema gibt, entschuldige ich mich. Ich konnte allerdings noch keines finden.

Wie bereits viele bestimmt mit bekommen haben, spätestens als die Mainstream Medien auf den Zug aufgesprungen sind, gibt es eine Sicherheitslücke in WPA2 und folglich auch der Schnittstelle wpa_supplicant, die unteranderem von Android genutzt wird.

Da diese Lücke wohl ausschließlich Clients betrifft (sofern Accesspoints kein Roaming (802.11r) oder selber als Client fungieren (Mesh)), müssen wohl alle Geräte geupdatet werden.

Folglich muss auch BQ aktiv werden und die Geräte patchen.

Hat hier ggf. jemand eine Information, wie der aktuelle Status von BQ dazu ist? Wird dies wohl im regulären Zyklus der 2 monatlichen Updates verteilt oder wird es ein extra, kurzfristiges Update geben?

Über jede Information bin ich dankbar :)
 
Eventuell kann uns BQ selbst ja etwas dazu sagen: @BQSupport

Vermutung meinerseits: Da BQ im Normalfall eher zu den schnelleren Herstellern in Sachen Updates gehört, werden wir recht bald in den Genuss dieses Fix kommen. Ein separates Update dafür wird's vermutlich nicht geben, da der angedachte Zwei-Monats-Zyklus dafür "ausreichend" wäre (es wird definitiv Hersteller abseits von BQ geben die a) länger brauchen oder b) niemals ein Update veröffentlichen). Ich fürchte aber auch, dass BQ hier ggf. ein Stück weit von Qualcomm abhängig sein könnte; sodass man erstmal auf deren Reaktion angewiesen ist.
 
@Waishon Dazu muss Qualcomm bzw der Hersteller des Wlan moduls erst einmal einen fix schreiben, dan geht das in der Regel erstmal zu Google und wird erst danach in einem der nächsten fixes ausgerollt. Sollange Google das nicht ei den Pixel fixed- no way
 
Soweit ich das Paper verstanden habe, sollte ein Update der wpa_supplicant das Problem beheben.
In Linux wird ja auch nicht für jeden WLAN Chipsatz eine neue Firmware gebastelt. Da wird einfach wpa_supplicant oder hostapd geupdatet und gut ist.

Außerdem hat wpa_supplicant einen Code-Bug, der bei erneuten Senden des 3. Teil des Handshakes den Key mit einem Zero-Key ersetzt, dessen fix definitiv nichts mit der Firmware des Chips zu tun hat :)

Beispielsweise ist es aktuell möglich sich die aktuellste wpa_supplicant zu nehmen, für Android zu crosscompilen und dann die Binary zu ersetzen (sofern Root vorhanden ist). Soll unter LineageOS erfolgreich durchgeführt worden sein. Außerdem sind die Menschen von LineageOS auch sehr aktiv was ein Fix angeht: Gerrit Code Review
Edit:// Twitter
Die sind bereits fertig :) Also nix mit Qualcom abstimmen oder ähnliches.

Jetzt weiß ich, dass Windows im Prinzip dies auch per Software regelt. Im Sleep Modus wird die Verwaltung allerdings an die Netzwerkkarte abgeben (bei Intel WiFi zumindest). Hier muss dann natürlich auch die Firmware des Chips gefixt werden.

Allerdings glaube ich, dass Android es anders handhabt und alles von wpa_supplicant gehandelt wird, wie es auch bei Linux der Fall ist.

Aktuell gibt es im Netz relativ viele falsch Informationen zu diesem Thema, deswegen sollte man alles mit Vorsicht genießen. Meine Thesen übrigens auch :D
 
Vielleicht sollte man das Thema mal nach bq Allgemein verschieben...
EDIT: Danke für's verschieben :).

Ich denke, das Update liegt erstmal eher an Google, als an bq oder einem Hardwarezulieferer, da KRACK, wie oben geschrieben, im wpa_supplicant liegt.
Weiterhin wird das im Moment sehr heiß gekocht, wobei das nicht wirklich nötig ist. Natürlich ist es eine große Lücke, wenn eine Verschlüsselungsebene im Netzwerkverkehr wegfällt. Allerdings muss man auch beachten, dass das a) nicht die wichtigste und stärkste Verschlüsselungsebene ist und b) deutlich unangenehmere Sicherheitslücken in der Vergangenheit existierten und auch heute existieren (davon gehe ich aus, ohne in die Liste aktuelle Kernel-Verwundbarkeiten geschaut zu haben).

KRACK bedingt ja erstmal, dass der Angreifer sich im Umkreis von wenigen 10-100 Metern um das WLAN (sprich: In Reichweite des WLANs) aufhält. Außerhalb des WLANs ist WPA2 eh nicht mehr aktiv, da es lediglich den Drahtlosverkehr absichert. Sprich: Jemand, der auf 'eure Leitung' Zugriff hat ist in der selben Situation, wie jemand, der WPA2 knacken kann und auf euer WLAN Zugriff hat.
Allgemein - egal, ob per WLAN oder Kabel - sollte man Seiten meiden, die sensible Daten nicht verschlüsselt (und das ist die wichtigere, stärkere Verschlüsselungsebene) übertragen. Egal, ob man per sicherer oder unsicherer Netz-Anbindung unterwegs ist.

Überlegt alleine mal, wie lange zahllose Nutzer ohne technischen Hintergrund mit WEP unterwegs waren, obwohl WEP längst gebrochen war. Und das richtig - nicht lediglich angeknackst, wie WPA2 jetzt. Trotzdem kam es nicht zu einer riesigen Welle an erfolgreichen Angriffen.
 
Zuletzt bearbeitet:
Bei allen offiziellen LOS ab 17.10.2017 ist der Fix schon drin, steht auf deren Seite. Bei den Inoffiziellen kommt es auf den jeweiligen Maintener an.
Zu solchen Themen aber am besten immer auf die jeweiligen Seiten sehen.
Im Falle von LOS am besten auf LineageOS Downloads da kann man unter Changes alle Änderungen der Vergangenheit und des nächsten Builds sehen.
 

Ähnliche Themen

E
Antworten
2
Aufrufe
3.410
Eisbaerfs
E
Zurück
Oben Unten