WPA2 ist geknackt!

Diverse Linux Distributionen bekamen schon heut Vormittag die Patches.

Jetzt können wir gespannt beobachten, welche Hersteller ihre Androiden patchen.

 

Das kann ich jetzt schon sagen: Google und Samsung werden ihre aktuellesten Geräte patchen, der Rest wird (wie üblich) in die Röhre schauen.

 

Edit. Nein, scheinbar nicht.

 

Linux-Nutzer können patchen, Windows-Anwender müssen warten und Android-User müssen hoffen.

Gut zusammengefasst von Golem

 

Na... Sony und Nokia werden wohl auch nachziehn. LineageOS sowie andere Custom ROM Benutzer sollten auch schnell versorgt sein.

Ich war vorhin erst leicht irritiert als ich die andere Heise Meldung direkt darunter las:
"Endlich offenes WLAN dank neuem Gesetz!"

 

Bei Oneplus bin ich mir sicher, dass sie zumindest für das 5er und das 3/3t ebenfalls Patches bringen werden. Für das One, X und 2 wird fast sicher nichts mehr kommen.

 

Naja, aber die Anzahl der Leute, die z.B. Custom Roms benutzen, dürfte auch nicht so groß sein. Ich kenne z.B. zahlreiche Leute, die ihre Smartphones (und Tablets) einfach nur benutzen, so lange diese funktionsfähig sind und sich für den Rest nicht interessieren. Da gibt es dann noch zahlreiche Geräte, auf denen noch Android 4.x oder gar 3.x läuft.

Soviel dann zum Thema "aktuelle Sicherheitsupdates".

 

Liegt aber auch an den Herstellern. Samsung liefert maximal zwei neue Major Versionen (Nougat, Oreo) und das dauert immer ne halbe Ewigkeit. Hatte 2013 ein S4, welches mir eigentlich gut gefallen hat. Dann wurde angekündigt, dass auch die nächste Version (war es Marshmallow?) auf das S4 kommt. Joa, es kam dann fast 1 Jahr später.

 

Die Leute, die das eh alles nicht interessiert, installieren vermutlich auch nicht die Updates, die bereitstehen...

Mit einem NischenOS fährt man halt sicherer, z.B. bekommt man für ein altes Galaxy S2 heute noch ein frisches Android. Klar, man muss sich damit etwas auseinandersetzen, was für manch einem ein Nachteil ist bzw. davor zurückschreckt.

 

Ersetzt Samsung mit Sony, Samsung hat noch nie so gehabt mit Updates.

Im Gegensatz dazu Haut Sony die ja fast pünktlich raus und zwar immer bis zu einer gewissen Grenze. Zum Beispiel würde ich mit einem Z5 nicht damit rechnen Android 8 zu bekommen.

 

Bei Samsung frag ich mich immer wieder, was die eigentlich unter Produktsupport verstehen. Da bekommen die Geräte ein Major Update und das wars. Man muss ja die ganze Bloatware draufknallen.
Ich meine, ich finde Samsung Produkte jetzt nicht generell schlecht, aber wenn es um langfristigen Support geht sind die nicht die Schnellsten.
Mal gucken wann die Updates so generell kommen.

 

Ja, das ist das Hauptproblem daran. Es gibt zahlreiche Hersteller, die Smartphones mit Android anbieten, aber nur die wenigsten davon kümmern sich um vernünftige Sicherheitsupdates.

Die wollen halt lieber Geld mit neuen Geräten verdienen, anstatt Geld für die Updates von alten Geräten auszugeben.

Kommt darauf an. Bei Geräten, die z.B. direkt von Google kommen funktioniert das (fast) automatisch und problemlos. Bei anderen Herstellern ist das (falls es überhaupt Updates gibt) z.T. viel umständlicher, was dann normale Nutzer schon wieder eher abschreckt.

Für den Großteil der Leute ist ein Smartphone halt ein reines Gebrauchsobjekt, das funktionieren muss. Solange es das tut, machen die sich einfach keine Gedanken über Dinge wie Updates oder Sicherheit.

 

Naja alle wichtigen Seiten sollte ja mittlerweile HTTPS unterstützen oder?

Aber ist schon bitter. Hab kein Bock auf mein China-Handy noch mal ne neue Rom raufzufummeln.

Die Fritzbox-Heinis meinten iirc schon, dass sie patchen soweit nötig und möglich ist.

 

Ich nutze seit dem One Oneplus. Die liefern die Updates eigentlich recht schnell, würde mich nicht wundern, wenn es diesmal auch so wäre. So wie es ausschaut wird es nicht mehr lange dauern bis Oreo für das 3/3t sowie 5er kommt. Das 5er wird dann auch noch mit P beliefert, danach muss man weitersehen.
Neben Google liefert Oneplus mit am schnellsten Updates.

 

Sony hat ja schon Ende August geschrieben welche Geräte Android 8 bekommen sollen.
https://blogs.sonymobile.com/2017/08/31/xperia-android-8-0-oreo/

Wie alt ist das älteste Gerät in der Liste?
2 Jahre?

 

kommt dann jetzt endlich die Revolution der Maschinen?

 

https://mobile.twitter.com/SwiftOnSecurity/status/919916578031910913

So true...

 

Bringt nur nicht viel. Sobald ein verwundbarer Client im Netz ist, ist das gesamte Netz angreifbar. Geht nicht anders da die Lücke den Standard selbst angreift.

 

Ich glaub mein altes HTC Mini 2 hat mehr updates bekommen als das letzte Samsung von mir oder das aktuelle meiner Mutter.

Das älteste ist das Xperia X das ist etwa gleichstark mit dem Z5, das kam mitte voriges Jahr in Deutschland. Das Z5 ist von 2015 hat aber grad erst nen update für 7.1.1. bekommen dürfte jetzt über 2 jahre alt.

 

Ok...beschäftige mich nicht so damit wann welches Gerät erschien.
Als ich letztens geschaut hatte nach Smartphones sah ich nur das teilweise bei welchen die auch auf der Liste stehen die ursprünglich mit Android 6 ausgeliefert wurden......deswegen der geschätzte Zeitraum.

 

Wie das? Der Client verbindet sich ja zum falschen AP.
Oder auch nicht, das Video dazu ist da komisch.

Edit: ne stimmt schon. Der Client verbindet sich zum AP vom Angreifer, von dort aus geht es weiter. AP vom Angreifer und "echter" AP brauchen aber keine Verbindung. Sonst würde er kein NAT einrichten.

 

https://mobile.twitter.com/gsuberland/status/919884567691087872

 

Ok stimmt also was ich so geschwafelt habe.

 

Das z5 wurde halt mit 5er Android ausgeliefert, Sony macht im schnitt bei den normalen versionen glaub 2 Jahre und sicherheitsupdates teils sogar länger

Muss aber sagen das ich auch kein Samsung mehr kaufen würde.

 

Laut dem ist es gar nicht so wild und unter Windows und iOS praktisch nicht ausnutzbar:
https://doublepulsar.com/regarding-krack-attacks-wpa2-flaw-bf1caa7ec7a0

Problem ist in erster Linie mal wieder die Android-Patchsituation...

 

Verwirrender Threadtitel. V+1

 

Ja gut, davon sind bei uns bestimmt nicht viel mehr als 20 000 - 30 000 im Einsatz.

Da werden aber einnige morgen mit einem hochroten Kopf bei uns rumlaufen

 

Typisch Gamestar. Nur Clickbait hier.

Besser: "noch nicht". Die Forscher nehmen bestimmt nur Rücksicht auf den Patchday Zyklus, weil MS sonst wieder nur rumjammert.

 

Kommt sich drauf an, ist die Gamestar Anmeldung für dich wichtig?

 

Der Canon-Drucker geht übers WLAN rein... Firmware gibts da keine aktuellere.

Das Smartphone ist von einem Hersteller, der keine Updates mehr rausbringt (Android 5). Da geht nichtmal mehr die Wetter-App

Zum zweiten Smartphone kann ich nix sagen, das ist nicht meins.... Aber viel aktueller wird das auch nicht sein.

Der Router bekommt seit Jahren keine Updates mehr, weils neuere Versionen des Geräts gibt.

Sieht gut aus

 

Willkommen im Internet of Shit. Jetzt stell dir vor es geht um deine Heizung für 30.000€...

 

Nein! Seitdem es kein Tapatalk mehr gibt, nicht.

 

Bei Windows wurde die Lücke schon zum letzten Patch Day am 10. Oktober geschlossen:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

 

Für was brauche ich bei Android WPA2 oder geht es nur um die Hotspot/Tethering-Funktion?

 

Um dich bei nem WLAN-AP anzumelden? Es geht um die WLAN-Funktion.

 

https://www.heise.de/mac-and-i/meld...rsionen-3863186.html?wt_mc=rss.ho.beitrag.rdf

Appel geht erst mal nur mit ner Beta Version dran wann aber es in die Normale Version geht ist unbekannt.

 

Man soll öffentliche WLANs meiden bei Bankgeschäften etc laut BSI

Was zum Teufel hat das mit öffentlichen WLANs zu tun? Die haben doch keine Verschlüsselung, sonst wären die nicht öffentlich. Selbst WENN sie Verschlüsselt sind, per "Man in the Middle" kann da auch der Besitzer den Traffic überwachen...

Was ist das BSI eigentlich für nen haufen mist?... Grundlos Panik schieben, super...

Lustig ist jetzt auch das der Vollpfostenjournalismus behauptet das HTTPS alles ganz toll sicher und abhörschutz ist. Ach du meine Güte. Die meisten Websites haben das nicht mal richtig implentiert. Gamestar ist vor falschem HTTPS sicher, die haben gar keines

 

Das WLAN zuhause kann man völlig normal benutzen...

Ja... und das WLAN zuhause kann man völlig normal nutzen, wenn da jemand so einen Angriff machen KÖNNTE hat der Besitzer ganz andere Probleme als WPA2. Dann sitzt der "Hacker" nämlich sowieso im WLAN und dann bringt dir auch HTTPS nichts mehr...

Die Lücke ist ziemlich theoretisch. Daher ist da eigentlich beim Fixen sowieso keine Eile. Wer seine Bankgeschäfte draussen in der Kneipe macht im öffentlichen WLAN ist sowieso... öhm ja...

 

Naja er muss schon drin sein, in einem abgesicherten WLAN wird das schwierig. Da lohnt der Aufwand nicht