Heartbleed

Sicherheitslücke in WLAN-Routern entdeckt

Die Heartbleed-Lücke ist scheinbar noch nicht ganz beseitigt. Einem Sicherheitsexperten zufolge ist der Bug immer noch in einigen WLAN-Routern vorhanden.

© heartbleed.com

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

Die Sicherheitslücke Heartbleed ist in einigen WLAN-Routern immer noch vorhanden - den Beweis dazu erbrachte der Sicherheitsexperte Luis Grangeia in einem Proof-of-Concept.

Das betroffene Authentifizierungsprotokoll EAP (Extensible Authentication Protocol) nutzt die quelloffene OpenSSL-Bibliothek und ist somit potenziell anfällig für Heartbleed - vor allem Router mit älteren Versionen der Verschlüsselung können zum Ziel von Hackern werden.

Der Cupid getaufte Angriff von Grangeia könne aus Routern mit EAP-Authentifizierung private Schlüssel, Zertifikate und weitere Zugangsdaten offenlegen. Außerdem kann Cupid ermitteln, ob der Router mit einer für Heartbleed anfälligen Version von OpenSSL arbeitet.

OpenSSL-Sicherheitslücke betrifft Android und VPN-Verbindungen

Hierfür muss auf einem Linux-Rechner ein von Grangeia bereits publizierter Patch angewendet werden. Der Patch dient der Verifizierungssoftware Wpa-Supplicant und Hostapd. Anschließend könne man mit einem Netzwerksniffer überprüfen, ob sensible Daten im Datenverkehr auftauchen.

Grangeia zufolge könne man nicht genau sagen, wie viele Router noch unsichere Versionen von OpenSSL besitzen. Seine Forschung würde zeigen, dass Heartbleed nicht nur auf Internetservern verbreitet war, sondern auch andere Hardware attackieren könne. EAP würde nicht nur in Routern, sondern auch in Netzwerkdruckern oder VoIP-Telefonen genutzt werden.

Mehr zum Thema

Heartbleed

OpenSSL hat mit "Heartbleed" eine gravierende Sicherheitslücke, mit der Angreifer Passwörter oder Zertifikatsschlüssel aus dem Speicher auslesen…
Heartbleed

Die Heartbleed-Sicherheitslücke in OpenSSL kommt von einem deutschen Programmierer. Im Gespräch gibt der Verantwortliche an, dass es ein Versehen…
Heartbleed

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
WhatsApp, iMessage & Co.

Der britische Premierminister David Cameron will Ende-zu-Ende-Verschlüsselung und damit auch Message-Dienste, wie WhatsApp und iMessage, die diese…