Lücke in WLAN-Routern: Forscher hackt Netz in Sekunden

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Joe82

Joe82

Aktives Mitglied
Mitglied seit
22 Mrz 2007
Beiträge
1,114
Punkte für Reaktionen
0
Punkte
36
Muss man bei der FritzBox zum Aktivieren des WPS für x Sekunden nicht erst noch eine Taste drücken ?
Was nützt dann der Key allein ?
 
Ja, so läufts, wenn die NSA den empfohlen hat als gut schnell und sicher.

@Mup:
Ganz einfach, das Zauberwort heisst: Social Engineering
Ein Anruf vom Telekommunikationsanbieter:
"Guten Tag, wir möchten gerne ihre Leitung überprüfen....
Drücken sie doch bitte einmal für 10 Sekunden den WPS Knopf."
 
Zuletzt bearbeitet:
WPS mit PIN ist auch sonst prinzipiell alles andere als sicher, man sollte dies nicht verwenden.
Es soll auch Router geben, bei denen man in der Oberfläche WPS ausschalten kann, es ist aber trotzdem weiterhin aktiv.
 
Mein Router besitzt kein WPS, jedoch find ich solche Sicherheitslücken die in diesem zunehmend aufgetreten sind schon echt erschreckend.
Es gibt einfach viele Dinge die nicht gut durchdacht und abgesichert sind (z.B. GSM)
 
Also, wenn ich bei meinem Router WPS ausschalte, ist es definitiv aus :cool:

Sowieso schaltet sich WPS 2 Minuten nach der Aktivierung von selbst wieder aus, oder wenn man einmal den falschen PIN eingibt, wird es auch automatisch deaktiviert - wie will das Jemand austricksen ?
 
Dass sich WPS automatisch abschaltet war mir neu, da ich es bisher noch nicht nutzen musste.
Aber laut der Aussage von Chip: „Er kann ohne tatsächlichen Zugang zum WLAN so viele Informationen vom Router empfangen, um die WPS-Key einfach auszurechnen.“
Scheint es so, als wenn er sich auch ohne die Betätigung des WPS Knopfes einen Zugang verschaffen kann.
 
Nein, dass heißt es nicht unbedingt,
denn er erhält dadurch erst den Key der bei einer aktiven WPS Verbindung zum Erfolg führt.
Die Tasten lassen sich (bei einigen Modellen) abschalten.
Zwar nicht getrennt, aber könnte vor nicht beabsichtigter Betätigung schützen.
 
Phoners schrieb:
Aber laut der Aussage von Chip: „Er kann ohne tatsächlichen Zugang zum WLAN so viele Informationen vom Router empfangen, um die WPS-Key einfach auszurechnen.“
Zum Vergrößern anklicken....
Insbesondere, wenn man die Standard-SSID lässt und diese zeigt, welchen Router man verwendet.
 
Die BSSID zeigt nur den Hersteller, nicht das Modell.
 
Phoners schrieb:
Scheint es so, als wenn er sich auch ohne die Betätigung des WPS Knopfes einen Zugang verschaffen kann.
Zum Vergrößern anklicken....

koyaanisqatsi schrieb:
Nein, dass heißt es nicht unbedingt,
denn er erhält dadurch erst den Key der bei einer aktiven WPS Verbindung zum Erfolg führt.
Zum Vergrößern anklicken....

Es gibt zwei WPS Verfahren.
Das eine ist WPS mit Knopf, wo man einen Knopf drückt und dadurch für eine kurze Zeit einen Verbindung möglich ist.
Das andere ist WPS mit PIN. Hier benötigt man nur eine 8-Stellige PIN und diese ist dauerhaft gültig. Man könnte nun vermuten, dass es 10 hoch 8 mögliche PINs gibt. Tatsächlich ist aber die achte Ziffer nur eine Prüfziffer, so dass nur noch 10 noch 7 übrig bleiben. Aus einem unerfindlichen Grund sieht der Standard aber vor, dass der Router eine Rückmeldung gibt, ob die ersten 4 Ziffern korrekt sind oder nicht. Hierfür gibt es nur 10 hoch 4, also 10000, Möglichkeiten. Nachdem man die ersten 4 Stellen hat, muss man nur noch die nächsten 3 Stellen ausprobieren, also 10 hoch 3 oder 1000 Möglichkeiten. Mit 10000+1000=11000 Versuchen hat man also alle möglichen PINs durch.

Als wäre das nicht schlimm genug, gibt es anscheinend noch Hersteller, bei denen man die PIN aus anderen Informationen berechnen kann, die der Router sendet. Mit diesen Informationen hat man gleich beim ersten Versuch die richtige WPS PIN. Und es muss niemand an diesen Routern einen Knopf drücken oder sonst etwas tun.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 495 (Mitglieder: 9, Gäste: 486)

Neueste Beiträge

Statistik des Forums

Themen
244,868
Beiträge
2,219,768
Mitglieder
371,584
Neuestes Mitglied
porcupine
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück