Wie Forscher herausfanden, beeinträchtigt ein im WLAN-Standard verankerter Energiesparmechanismus die Sicherheit des Netzwerkverkehrs.
Eine neu entdeckte Schwachstelle im WiFi-Protokollstandard IEEE 802.11 schränkt die Sicherheit unzähliger WLAN-Endgeräte ein. Unter Missbrauch gängiger Energiesparfunktionen kann ein Angreifer beispielsweise bösartigen JavaScript-Code in TCP-Pakete einschleusen. Und das völlig unbemerkt.
WiFi-Sicherheitslücke im IEEE 802.11-Standard entdeckt
Sicherheitsforscher haben eine Schwachstelle im WLAN-Protokollstandard IEEE 802.11 identifiziert, die die Sicherheit des Netzwerkverkehrs massiv beeinträchtigen kann. Die neu entdeckte WiFi-Sicherheitslücke betrifft viele verschiedene Geräte und Betriebssysteme, die auf Linux, FreeBSD, iOS oder Android basieren.
Sie befähigt Angreifer dazu, “TCP-Verbindungen zu kapern oder Client- und Web-Verkehr abzufangen”, so die beiden Forscher Domien Schepers und Aanjhan Ranganathan in ihrem erst kürzlich veröffentlichten Paper. Dadurch sei es beispielsweise möglich, bösartigen JavaScript-Code in TCP-Pakete einzuschleusen.
WLAN-Sicherheit durch Energiespar-Bit beeinträchtigt
Im Grunde basiert die Sicherheitslücke auf im WiFi-Standard IEEE 802.11 verankerten Energiesparmechanismen. Möchte ein Empfangsgerät zum Beispiel in den Ruhezustand übergehen, so sendet es ein Datenpaket mit einem speziellen Energiespar-Bit im Header. Daraufhin puffert der Access Point (AP) die nächsten für den Empfänger bestimmten Pakete in einer Warteschlange.
Erwacht der Client wieder aus dem Ruhezustand, so holt der AP die Ethernet-Frames aus dem Puffer, verschlüsselt sie und überträgt sie an das Endgerät. Bezüglich der Sicherheit und der Verweildauer der Pakete innerhalb der Warteschlange des WLAN-Zugangspunktes macht der WiFi-Standard jedoch keine expliziten Vorgaben.
Wie BleepingComputer berichtet, könne ein Angreifer folglich die MAC-Adresse seines Ziels fälschen und den AP per Energiespar-Bit dazu zwingen, die nächsten Pakete zu puffern. Über einen Wake-up-Frame lasse sich der Inhalt der Warteschlange anschließend vollständig abrufen.
Durch die Übermittlung spezieller Authentifizierungs- und Assoziations-Frames könne man sogar den Sicherheitskontext manipulieren. Dies ermögliche es einem Cyberkriminellen, den Zugangspunkt dazu zwingen, die Daten im Klartext zu übertragen oder mit einem vom Angreifer bereitgestellten Schlüssel zu verschlüsseln.
WiFi-Geräte nicht in Sicherheit: Bösartiger Code lässt sich einschleusen
Von dem Problem betroffen seien aktuellen Erkenntnissen zufolge einige Netzwerkgeräte von Lancom, Aruba, Cisco, Asus und D-Link. Fälle, in denen die WLAN-Sicherheitslücke böswillig ausgenutzt wurde, seien bisher noch nicht bekannt.
Dennoch warnen die Forscher, ein Angreifer könne “seinen eigenen mit dem Internet verbundenen Server verwenden, um Daten in eine TCP-Verbindung einzuschleusen”. Dadurch lasse sich “bösartiger JavaScript-Code in Klartext-HTTP-Verbindungen an das Opfer senden, um so Schwachstellen im Browser des Clients auszunutzen”, was die Sicherheit anfälliger WiFi-Geräte beeinträchtigt.
Zwar lasse sich damit grundsätzlich auch Netzwerkverkehr ausspionieren. Aufgrund der heute im Webverkehr üblichen TLS-Verschlüsselung seien die Inhalte bestehender Datenpakete für Angreifer jedoch üblicherweise nicht zugänglich.
Um den Angriff zu demonstrieren, haben die Forscher ein Tool namens MacStealer bereitgestellt. Und nein, dieses hat nichts mit der gleichnamigen macOS-Malware gemeinsam, über die wir erst gestern berichteten. Letztere hat zwar für Mac-User auch etwas mit Sicherheit zu tun, aber eher weniger mit WLAN.
