1

Frage

2

Antwort

3

Lösung

FragAttacks WLAN-Schwachstellen
Englmar
Digitalisierer
Digitalisierer

 

Mit dem Namen "FragAttacks" werden zahlreiche WLAN-Schwachstellen bezeichnet, die sowohl WLAN-Router als auch die damit verbundenen Geräte betreffen können.

Wie geht Vodafone mit diesem Problem um?, was für Lösungen sind geplant?

Link BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-216748-1032.pdf 

Gruß 

69 Antworten 69

@Holsie-Sabsie  schrieb:


da aber Vodafone die Firmware für die VF-Fritzboxen nicht selber anpasst, sondern AVM, muss VF  auf die Bereitstellung der angepassten Firmware für die VF-Fritzboxen warten bis AVM diese für VF zur Verfügung stellt und kann diese erst nach deren Bereitstellung verteilen.

 Bedeutet im Umkehrschluss, wenn AVM eine Firmware für die freien Boxen zur Verfügung stellt, diese aber noch lange nicht für die VF Fritzboxen angepasst sein muss, damit VF diese verteilen kann


Das ist nicht ganz korrekt. Sobald AVM die angepasste Software zur Verfügung gestellt hat, verspricht VF sie "unverzüglich" zu verteilen. Wir wissen von früheren Fällen, dass AVM auf Anfragen mitgeteilt hat, dass diese angepasste Version (z.B. 7.22) bereits VF vorliegt. Dennoch wurde sie nicht verteilt, weil bekanntlich zunächst noch die Testphase kommt. Und diese ist im VF Text nicht erwähnt, obwohl sie einen bedeutenden Zeitfaktor  für den Kunden ausmacht. Damit stellt der Text für VF meines Erachtens ein juristisches Risiko dar. Denn der Kunde könnte fälschlicherweise annehmen, dass ein Aufspielen der angepassten Software auf seinem Router unverzüglich nach Bereitstellen durch AVM erfolgt (denn genau so steht es drin). Das ist aber nachweislich nicht der Fall, u.a. auch schriftlich belegt durch Moderatoreneinträge hier im Forum a la "Der Rollout hat noch nicht begonnen".

 


@whatever5  schrieb:

@Holsie-Sabsie  schrieb:


da aber Vodafone die Firmware für die VF-Fritzboxen nicht selber anpasst, sondern AVM, muss VF  auf die Bereitstellung der angepassten Firmware für die VF-Fritzboxen warten bis AVM diese für VF zur Verfügung stellt und kann diese erst nach deren Bereitstellung verteilen.

 Bedeutet im Umkehrschluss, wenn AVM eine Firmware für die freien Boxen zur Verfügung stellt, diese aber noch lange nicht für die VF Fritzboxen angepasst sein muss, damit VF diese verteilen kann


Das ist nicht ganz korrekt. Sobald AVM die angepasste Software zur Verfügung gestellt hat, verspricht VF sie "unverzüglich" zu verteilen.

 

Nichts anderes habe ich geschrieben

 

Wir wissen von früheren Fällen, dass AVM auf Anfragen mitgeteilt hat, dass diese angepasste Version (z.B. 7.22) bereits VF vorliegt. Dennoch wurde sie nicht verteilt, weil bekanntlich zunächst noch die Testphase kommt. Und diese ist im VF Text nicht erwähnt, obwohl sie einen bedeutenden Zeitfaktor  für den Kunden ausmacht. Damit stellt der Text für VF meines Erachtens ein juristisches Risiko dar. Denn der Kunde könnte fälschlicherweise annehmen, dass ein Aufspielen der angepassten Software auf seinem Router unverzüglich nach Bereitstellen durch AVM erfolgt (denn genau so steht es drin). Das ist aber nachweislich nicht der Fall, u.a. auch schriftlich belegt durch Moderatoreneinträge hier im Forum a la "Der Rollout hat noch nicht begonnen".

 

 

Du darfst aber nicht eine Firmware, die nur ein Funktionsupdate ist, mit einer Firmware vergleichen, die Sicherheitsrelevant ist, Dieses ist zb Die 7.22 gewesen (Funktionsupdate) 7.27 (Sicherheitsrelevant)

 

Desweiteren eweiß keiner  ob VF bereits die angepasste 7.27 von AVM erhalten hat, da diese bekanntlich erst nach dem Release der Freien Version angepasst wird.

 


 


Englmar
Digitalisierer
Digitalisierer

Hallo Vodafone, Hallo Moderatoren,

gibt es hierzu was neues?

 

LG Englmar


@Englmar  schrieb:

Hallo Vodafone, Hallo Moderatoren,

gibt es hierzu was neues?

 

LG Englmar


Natürlich nicht! Es dauert mindestens sechs Monate, bis Vodafone in der Lage ist, ein dringendes Sicherheitsupdate einzuspielen. Bis dahin müssen die Angreifer einfach mal warten! Die Firmenkunden auch, aber das ist ja kein Problem, denn wenn Vodafone nicht will, dass ihre Kunden angegriffen werden, dann passiert das auch nicht!


@Holsie-Sabsie  schrieb:

Desweiteren eweiß keiner  ob VF bereits die angepasste 7.27 von AVM erhalten hat, da diese bekanntlich erst nach dem Release der Freien Version angepasst wird.

 


Das ist so nicht richtig.

Richtig ist, das Provider spätestens im gleichen Tag die offizielle Version bekommen, wie Besitzer der freien Boxen. 

Die Verzögerung ist durch andere Faktoren bedingt und nennt sich "Provisionierung" - was am Ende eine Art Konfigurationsdatei ist. In dieser wird festgelegt, auf welche Funktionen die Benutzer einer Mietbox zugreifen können, ebenfalls darüber gesteuert wird die Konfiguration des Hotspots (der dann noch gesondert über das Kundencenter aktiviert werden muss) und noch 2-3-4-5-6 andere Dinge.

 

Ein naheliegender Gedanke ist hier "Ja, dann sollen sie halt die Provisionierung von der vorherigen Version nehmen", geht aber nicht. Auch AVM spielt gerne mit den APIs auf der Firtzbox rum und ändert dort mal was, dann gibt es noch Unterschiede bei der Hardware-Revision (für jede Revision eine eigene Datei), womit sich das dann zieht..

Blöd ist nur, dass nun Vodafone, wie zuvor auch Unitymedia, diese zeitlichen Rahmen extremst ausdehnt und es ohne Ende (und in den meisten Fällen grundlos) hinauszögert. Im Normalfall geht es mit der Provisionierung recht schnell, das Testen mit einer Testgruppe dauert auch keine Monate - VF siehts aber anders.


 


@Friedhelm65  schrieb:

@Holsie-Sabsie  schrieb:

Desweiteren eweiß keiner  ob VF bereits die angepasste 7.27 von AVM erhalten hat, da diese bekanntlich erst nach dem Release der Freien Version angepasst wird.

 


Das ist so nicht richtig.

Richtig ist, das Provider spätestens im gleichen Tag die offizielle Version bekommen, wie Besitzer der freien Boxen. 

Die Verzögerung ist durch andere Faktoren bedingt und nennt sich "Provisionierung" - was am Ende eine Art Konfigurationsdatei ist. In dieser wird festgelegt, auf welche Funktionen die Benutzer einer Mietbox zugreifen können, ebenfalls darüber gesteuert wird die Konfiguration des Hotspots (der dann noch gesondert über das Kundencenter aktiviert werden muss) und noch 2-3-4-5-6 andere Dinge.

 


 


das ist nicht richtig, denn dann müsste eine nagelneue leih Fritzbox die selben Einstellungsmölichkeiten aufweisen wie eine Kaufbox, was sie aber nicht tut, Dazu brauchst du nur eine nagelneue Leihbox sofern du mal eine bekommen solltest direkt an den PC anschließen und die Verbindung zum Inet ketrennt lassen. dann wirst du sehen das die "Provisionierung" keinen Einfluss auf die Einstellungsmöglichkeiten und Bestandteile der Firmware hat. 



@Holsie-Sabsie  schrieb:


das ist nicht richtig, denn dann müsste eine nagelneue leih Fritzbox die selben Einstellungsmölichkeiten aufweisen wie eine Kaufbox, was sie aber nicht tut, Dazu brauchst du nur eine nagelneue Leihbox sofern du mal eine bekommen solltest direkt an den PC anschließen und die Verbindung zum Inet ketrennt lassen. dann wirst du sehen das die "Provisionierung" keinen Einfluss auf die Einstellungsmöglichkeiten und Bestandteile der Firmware hat. 


Die Mietboxen sind alle vorprovosioniert - was landläufig auch Branding genannt wird. 

Die Provisionierung hat sogar erheblichen Einfluss auf Deine Zugriffsmöglichkeiten, z.B. der Echtzeitmitschnitt auf den Schnittstellen für den Datenverkehr oder Zugriff via Shell und Aktivierung von SNMP. Auf freien Boxen ohne weiteres möglich, auf Mietboxen stumpf deaktiviert. 


@reneromann  schrieb:

@Friedhelm65 

Letzten Endes kann man die Aussage des BSI soweit einkürzen, dass eine Verwendung von WLAN generell geschäftskritisch sein kann. Wer sich den Problemen nicht aussetzen will, verbietet WLAN und nutzt nur Kabel -- und genau das wäre ja am Ende auch die Methode für sämtliche Leute, die hier rumschreien...

 


Du hast die FragAttacks-Lücke nicht richtig verstanden. Es ist ein Design-Fehler, der erst jetzt aufgefallen ist. Dennoch ist es so, wie ich schrieb, nur aktive Komponenten, die ständig die SSID und BSSID durch die Gegend schreien, sind für FragAttacks-Angriffe interessant - und das machen nun mal Router ununterbrochen.

 

Bis zur FragAttacks-Lücke war aus Sicht des BSI WLAN nicht schlimmer als Kabelverbindungen - wenn denn die Vorgaben aus dem Grundschutz / modernisiertem Grundschutz entsprechend umgesetzt wurden (WPA2/3 mit PSK, 256bit Verschlüsseung usw). Zudem sind Angriffsszenarien auf Router einfacher, diese Geräte und die verwendete Firmware ist bestens bekannt und dokumentiert (nicht nur AVM), hier den Hebel anzusetzen ist vielversprechender, als bei einer WLAN-Steckdose, die für weitere interne Angriffe schlicht nicht genügend Rechenleistung bietet (auch wenn man auf der Hardware von WLAN-Lampen mittlerweile auch Doom spielen kann).

es gibt hier wahrscheinlich sehr wenige, die die Funktionsweise von Fragattacks wirklich verstanden haben  😉


@RobertP  schrieb:

es gibt hier wahrscheinlich sehr wenige, die die Funktionsweise von Fragattacks wirklich verstanden haben  😉


Und ich bin mir ziemlich sicher, @Friedhelm65 gehört nicht dazu.

 

Denn anders als von ihm behauptet, betreffen FragAttacks eben nicht nur Geräte, die die BSSID rausposaunen, sondern FragAttacks betreffen ALLE Geräte im Netzwerk (also auch Alexa und das Smarthome aus fernöstlicher (Billig-)Produktion). Es geht bei FragAttacks schlichtweg darum, dass es durch Fragmentiertung der Pakete gelingt, Datenpakete in's Netz einzuschleusen - und das geht nunmal nicht nur beim Router, sondern bei jedem Gerät, dessen WLAN-Implementierung fehlerhaft ist.

 

Und die Aussage vom BSI in Bezug auf WLAN ist auch eher lückenhaft dargestellt. Fakt ist, dass WLAN schon immer ein Schwachpunkt war und eigentlich immer schon gesagt wurde, dass bei sicherheitskritischen Anwendungen ausschließlich LAN zum Einsatz kommen soll. Denn Fakt ist auch, dass WLAN -selbst mit modernster Verschlüsselung- nie den Sicherheitsstandard eines kabelgebundenen Netzwerks erreichen wird - es ist schlichtweg unmöglich, egal mit welchem Verschlüsselungsalgorithmus auch immer, 100%ige Sicherheit zu erreichen. Diese gibt es nur, wenn man die Daten nicht in den Äther hinausbläst, sondern über ein (im Gebäude gegen externe Zugriffe gesichertes) LAN-Netzwerk überträgt.