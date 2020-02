Im Oktober 2017 sorgte die WPA2-Lücke Krack für Schlagzeilen, von der Millionen von Wi-Fi-Nutzern betroffen waren. Die Sicherheitsexperten von Eset haben jetzt eine neue Sicherheitslücke in den Wi-Fi-Chips von Broadcom und Cypress entdeckt und diese auf den Namen Kr00k (CVE-2019-15126) getauft.

Eset hat die Hersteller vorab informiert, ehe jetzt die Details zu Kr00k der Öffentlichkeit mitgeteilt wurden. Sowohl Broadcom als auch Cypress haben die Schwachstelle in ihren Wi-Fi-Chips geschlossen und haben an die Hersteller entsprechende Updates ausgeliefert. Außerdem wurden auch alle Gerätehersteller informiert, sodass sie ihre Geräte entsprechend absichern konnten.

Ausreichend viel Zeit hatten die Hersteller, den Eset fand die ersten Hinweis auf Kr00k bereits im dritten Quartal 2018 und konnte die Lücke dann im Januar 2019 bei Amazon-Geräten nachweisen. Amazon bestätigte die Lücke und Eset erweiterte die Untersuchungen auf weitere Geräte, Im Juli 2019 wurde dann Cypress und im August 2019 auch Broadcom mit allen Details zu Kr00k versorgt. Zwischen dem vierten Quartal 2019 und dem ersten Quartal 2020 entwickelten die Hersteller dann die Updates, um die Kr00k-Lücke in ihren Geräten zu stopfen. Nachdem dies geschehen ist, informierte Eset nun die Öffentlichkeit

Die Sicherheitslücke betrifft sowohl das WPA2-Personal- als auch das WPA2-Enterprise-Protokoll mit AES-CCMP-Verschlüsselung. Potenzielle Angreifer könnten die Lücke dafür ausnutzen, um den an sich verschlüsselten Datenverkehr abzuhören und zu entschlüsseln.

Die betreffenden Wi-Fi-Chips kommen bei vielen populären Geräten mit WLAN-Fähigkeit zum Einsatz. Darunter beispielsweise in Smartphones von Samsung der Galaxy-Reihe, bei Amazon-Geräten (Echo, Kindle), Apple (iPhone, iPad, MacBook), Raspberry (Pi 3), Xiaomi (RedMi) und Google (Nexus). Auch in Routern, Access-Points und vielen anderen Geräten. Weit über eine Milliarde Geräte weltweit, so schätzt Eset, waren von der Anfälligkeit Kr00k betroffen.

Die Existenz der Lücke konnte Eset im Labor bei folgenden Geräten konkret nachweisen:

Amazon Echo 2nd gen

Amazon Kindle 8th gen

Apple iPad mini 2

Apple iPhone 6, 6S, 8, XR

Apple MacBook Air Retina 13-inch 2018

Google Nexus 5

Google Nexus 6

Google Nexus 6S

Raspberry Pi 3

Samsung Galaxy S4 GT-I9505

Samsung Galaxy S8

Xiaomi Redmi 3S

Eset empfiehlt den Besitzern der betroffenen Geräte unter Windows, Android oder iOS, umgehend die existierenden Updates der Hersteller zu installieren. Mit diesen Updates wird auch die Kr00k-Lücke geschlossen. Bei Access Points, Routern und IoT-Geräten seien dafür unter Umständen Firmware-Updates notwendig.