Community

Hallo zusammen,

@winposur:

Soweit ich das verstanden habe geht es bei dem Thema nicht nur um Infrastruktur-Komponenten (Router, Access-Points usw.) sondern auch um WLAN Clients die für die Attacke anfällig sein könnten. Dazu müssten aber die jeweiligen Hersteller Informationen und ggf. Updates liefern.

Bin mal gespannt für wieviele der WLAN-fähigen Geräte die ich im Einsatz habe (und das sind einige) in nächster Zeit entsprechende Updates geliefert werden. Zum Glück habe ich mit meiner WiFi-Lösung Möglichkeiten Geräte, für die es derzeit bzw. in naher Zukunft kein Update gibt, weitgehend zu isolieren (separate SSID mit eigenem VLAN und Kommunikation über Firewall eingeschränkt).

Wie wahrscheinlich ein Angriff derzeit ist, spielt für mich eigentlich keine Rolle: wenn es erstmal eine bekannte Angriffsmöglichkeit gibt dauert es meist nicht lange bis entsprechende Tools im Umlauf sind.

@Peter_S. :

gibt es seitens Sony inzwischen ein offizielles Statement? Gibt ja außer Smart TVs noch genügend weitere Produkte im Sortiment die WLAN-fähig sind (z.B. Systemkameras, PlayStation 4).

Danke und viele Grüße,

Jens

Hallo Jens,

das Thema wurde eskaliert und ist in Arbeit.

Allerdings betrifft es meines Wissens nur Produkte, die den Standard 802.r unterstützen.

Schöne Grüße

Peter

KRACK zielt unter anderem auf 802.11r und betrifft praktisch ALLE Android-basierten geräte ab 6.0 mit wpa_supplicant https://www.krackattacks.com/

auch wenn ein ausnützen der lücke im einzelfall unrealistisch sein mag gibt es mittlerweile millionen von IoT-geräten deren zahlreiche, von den herstellern nie gepatchte sicherheitslücken zum aufbau von botnetzen dienen. hierzu zählen neben routern, kameras, NAS.... durchaus auch internetfähige TVs. https://www.wired.com/story/reaper-iot-botnet-infected-million-networks/

Das mangelnde bewusstsein seitens der hersteller ist eine schiere katastrophe und sollte meines erachtens nach mit gesetzlichen regelungen endlich über empfindliche geldstrafen aktiv verfolgt werden. Schon alleine wie eingangs von mir erwähnt das völlige ausbleiben der auslieferung von sicherheitsupdates unabhängig von systemupdates reicht für mich aus, das vertrauen in Sony hier völlig zu verlieren. 

nochmals: es ist per se keine dumme idee, Android (TV) als grundlage für "smart"TVs zu verwenden, aber die mangelnde pflege und fehlerhafte implementierung (sowohl hersteller als auch google) lassen mich so langsam an der zukunft dieses TV-OS ernsthaft zweifeln.

Hallo,

wie schon zuvor geschrieben "Das Thema wurde eskaliert und ist bereits in Arbeit".

Schöne Grüße

Peter

Ich betreibe mehrere Sony Geräte (TVs, Bluray Player) über WLAN und habe gestern entsprechend bei dem Sony EU Support nachgefragt. Hier die Antwort:

vielen Dank, für Ihre Anfrage beim SONY Support.
Für Sony Geräte wird kein Update bereitgestellt werden, um die Schwachstelle bei WPA2 zu schließen.
Diese Sicherheitslücke ist nicht kritisch für Privatanwender.
Außerdem muss die Sicherheitslücke bei Router geschlossen werden. Fernseher und andere Client Geräte sind hier nicht betroffen, weil der Router die zentrale Instanz ist beim Verbindungsaufbau.
In diesem Fall wenden Sie sich bitte direkt an Ihren Router Hersteller.
Hinweis: Die WPA2 Sicherheitslücke ist für Privatanwender überhaupt nicht als kritisch eingestuft.
für Firmennetzwerke ist das Problem allerdings wesentlich kritischer. Sie können dazu weitere Informationen mithilfe von Onlinesuchmaschinen ausfindig machen.
Wir danken für Ihr Verständnis, auch wenn Sie sicherlich eine andere Antwort erwartet haben und wir in diesem Fall zu keiner anderen Lösung gekommen sind.
---

Das ist natürlich sehr enttäuschend, da diese Lücke technisch relativ einfach zu schließen ist - Microsoft, Apple, Google, AVM, etc. haben alle schon Lösungen bereitgestellt.

Privatanwender haben ebenfalls Anspruch auf grundlegende Gerätesicherheit. Wenn eine ganze Sicherheitsebene (WPA2) weg fällt, ist das auf jeden Fall kritisch.

Meine AVM Router sind gegen KRaCK gepatcht, was die Lücke aber nicht schließen kann:  

Is it sufficient to patch only the access point? Or to patch only clients? Currently, all vulnerable devices should be patched. In other words, patching the AP will not prevent attacks against vulnerable clients. Similarly, patching all clients will not prevent attacks against vulnerable access points. Note that only access points that support the Fast BSS Transition handshake (802.11r) can be vulnerable. (https://www.krackattacks.com)

Besonders betroffen sind Kunden, die Android TV in Ihren Sony Geräten nutzen. Wenn Sony dies nicht als kritische Sicherheitslücke für Privatanwender sieht, werde ich meine zukünftigen Kaufentscheidungen entsprechend anpassen müssen.