Heartbleed

Sicherheitslücke in WLAN-Routern entdeckt

Die Heartbleed-Lücke ist scheinbar noch nicht ganz beseitigt. Einem Sicherheitsexperten zufolge ist der Bug immer noch in einigen WLAN-Routern vorhanden.

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

© heartbleed.com

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

Die Sicherheitslücke Heartbleed ist in einigen WLAN-Routern immer noch vorhanden - den Beweis dazu erbrachte der Sicherheitsexperte Luis Grangeia in einem Proof-of-Concept.

Das betroffene Authentifizierungsprotokoll EAP (Extensible Authentication Protocol) nutzt die quelloffene OpenSSL-Bibliothek und ist somit potenziell anfällig für Heartbleed - vor allem Router mit älteren Versionen der Verschlüsselung können zum Ziel von Hackern werden.

Der Cupid getaufte Angriff von Grangeia könne aus Routern mit EAP-Authentifizierung private Schlüssel, Zertifikate und weitere Zugangsdaten offenlegen. Außerdem kann Cupid ermitteln, ob der Router mit einer für Heartbleed anfälligen Version von OpenSSL arbeitet.

OpenSSL-Sicherheitslücke betrifft Android und VPN-Verbindungen

Hierfür muss auf einem Linux-Rechner ein von Grangeia bereits publizierter Patch angewendet werden. Der Patch dient der Verifizierungssoftware Wpa-Supplicant und Hostapd. Anschließend könne man mit einem Netzwerksniffer überprüfen, ob sensible Daten im Datenverkehr auftauchen.

Grangeia zufolge könne man nicht genau sagen, wie viele Router noch unsichere Versionen von OpenSSL besitzen. Seine Forschung würde zeigen, dass Heartbleed nicht nur auf Internetservern verbreitet war, sondern auch andere Hardware attackieren könne. EAP würde nicht nur in Routern, sondern auch in Netzwerkdruckern oder VoIP-Telefonen genutzt werden.

Mehr zum Thema

Der für die OpenSSL-Lücke verantwortliche Programmierer meldet sich zu Wort.
Heartbleed

Die Heartbleed-Sicherheitslücke in OpenSSL kommt von einem deutschen Programmierer. Im Gespräch gibt der Verantwortliche an, dass es ein Versehen…
Die Sicherheitslücke Heartbleed zieht weiter ihre Kreise.
Heartbleed

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.
Google will seinen E-Mail-Verkehr zu 100 Prozent sicher machen.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
Überwachung: XKeyscore-Quellcode beweist NSA-Spionage in Deutschland
NSA-Spionage

Der Quellcode des NSA-Überwachungsprogramms XKeyscore liegt NDR und WDR vor. Daraus geht hervor, wie gezielt die NSA Spionage in Deutschland…
Spideroak statt Dropbox: Diese Cloud-Alternative empfiehlt Snowden
Spideroak

Edward Snowden stuft Dropbox als zu unsicher ein und empfiehlt stattdessen Spideroak. Wir zeigen, was es mit der sicheren Dropbox-Alternative auf sich…