Community Navigation
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
1

Frage

2

Antwort

3

Lösung

FragAttacks WLAN-Schwachstellen
Englmar
Digitalisierer
Digitalisierer

‎13.05.2021 20:22 - bearbeitet ‎13.05.2021 20:26

 

Mit dem Namen "FragAttacks" werden zahlreiche WLAN-Schwachstellen bezeichnet, die sowohl WLAN-Router als auch die damit verbundenen Geräte betreffen können.

Wie geht Vodafone mit diesem Problem um?, was für Lösungen sind geplant?

Link BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-216748-1032.pdf 

Gruß 

0 Gefällt mir
69 Antworten 69
whatever5
Netz-Profi
Netz-Profi
Als Antwort auf Holsie-Sabsie

am ‎25.06.2021 07:48

@Holsie-Sabsie  schrieb:

da aber Vodafone die Firmware für die VF-Fritzboxen nicht selber anpasst, sondern AVM, muss VF  auf die Bereitstellung der angepassten Firmware für die VF-Fritzboxen warten bis AVM diese für VF zur Verfügung stellt und kann diese erst nach deren Bereitstellung verteilen.

 Bedeutet im Umkehrschluss, wenn AVM eine Firmware für die freien Boxen zur Verfügung stellt, diese aber noch lange nicht für die VF Fritzboxen angepasst sein muss, damit VF diese verteilen kann

Das ist nicht ganz korrekt. Sobald AVM die angepasste Software zur Verfügung gestellt hat, verspricht VF sie "unverzüglich" zu verteilen. Wir wissen von früheren Fällen, dass AVM auf Anfragen mitgeteilt hat, dass diese angepasste Version (z.B. 7.22) bereits VF vorliegt. Dennoch wurde sie nicht verteilt, weil bekanntlich zunächst noch die Testphase kommt. Und diese ist im VF Text nicht erwähnt, obwohl sie einen bedeutenden Zeitfaktor  für den Kunden ausmacht. Damit stellt der Text für VF meines Erachtens ein juristisches Risiko dar. Denn der Kunde könnte fälschlicherweise annehmen, dass ein Aufspielen der angepassten Software auf seinem Router unverzüglich nach Bereitstellen durch AVM erfolgt (denn genau so steht es drin). Das ist aber nachweislich nicht der Fall, u.a. auch schriftlich belegt durch Moderatoreneinträge hier im Forum a la "Der Rollout hat noch nicht begonnen".

 

Holsie-Sabsie
Full Metal User
Full Metal User
Als Antwort auf whatever5

am ‎25.06.2021 07:57

@whatever5  schrieb:
@Holsie-Sabsie  schrieb:

da aber Vodafone die Firmware für die VF-Fritzboxen nicht selber anpasst, sondern AVM, muss VF  auf die Bereitstellung der angepassten Firmware für die VF-Fritzboxen warten bis AVM diese für VF zur Verfügung stellt und kann diese erst nach deren Bereitstellung verteilen.

 Bedeutet im Umkehrschluss, wenn AVM eine Firmware für die freien Boxen zur Verfügung stellt, diese aber noch lange nicht für die VF Fritzboxen angepasst sein muss, damit VF diese verteilen kann

Das ist nicht ganz korrekt. Sobald AVM die angepasste Software zur Verfügung gestellt hat, verspricht VF sie "unverzüglich" zu verteilen.

 

Nichts anderes habe ich geschrieben

 

Wir wissen von früheren Fällen, dass AVM auf Anfragen mitgeteilt hat, dass diese angepasste Version (z.B. 7.22) bereits VF vorliegt. Dennoch wurde sie nicht verteilt, weil bekanntlich zunächst noch die Testphase kommt. Und diese ist im VF Text nicht erwähnt, obwohl sie einen bedeutenden Zeitfaktor  für den Kunden ausmacht. Damit stellt der Text für VF meines Erachtens ein juristisches Risiko dar. Denn der Kunde könnte fälschlicherweise annehmen, dass ein Aufspielen der angepassten Software auf seinem Router unverzüglich nach Bereitstellen durch AVM erfolgt (denn genau so steht es drin). Das ist aber nachweislich nicht der Fall, u.a. auch schriftlich belegt durch Moderatoreneinträge hier im Forum a la "Der Rollout hat noch nicht begonnen".

 

 

Du darfst aber nicht eine Firmware, die nur ein Funktionsupdate ist, mit einer Firmware vergleichen, die Sicherheitsrelevant ist, Dieses ist zb Die 7.22 gewesen (Funktionsupdate) 7.27 (Sicherheitsrelevant)

 

Desweiteren eweiß keiner  ob VF bereits die angepasste 7.27 von AVM erhalten hat, da diese bekanntlich erst nach dem Release der Freien Version angepasst wird.

 

 


Englmar
Digitalisierer
Digitalisierer

am ‎01.07.2021 09:45

Hallo Vodafone, Hallo Moderatoren,

gibt es hierzu was neues?

 

LG Englmar

0 Gefällt mir
joergmaass
Netzwerkforscher
Netzwerkforscher
Als Antwort auf Englmar

am ‎01.07.2021 11:01

@Englmar  schrieb:

Hallo Vodafone, Hallo Moderatoren,

gibt es hierzu was neues?

 

LG Englmar

Natürlich nicht! Es dauert mindestens sechs Monate, bis Vodafone in der Lage ist, ein dringendes Sicherheitsupdate einzuspielen. Bis dahin müssen die Angreifer einfach mal warten! Die Firmenkunden auch, aber das ist ja kein Problem, denn wenn Vodafone nicht will, dass ihre Kunden angegriffen werden, dann passiert das auch nicht!

0 Gefällt mir
Friedhelm65
Digitalisierer
Digitalisierer
Als Antwort auf Holsie-Sabsie

am ‎01.07.2021 19:58

@Holsie-Sabsie  schrieb:

Desweiteren eweiß keiner  ob VF bereits die angepasste 7.27 von AVM erhalten hat, da diese bekanntlich erst nach dem Release der Freien Version angepasst wird.

 

Das ist so nicht richtig.

Richtig ist, das Provider spätestens im gleichen Tag die offizielle Version bekommen, wie Besitzer der freien Boxen. 

Die Verzögerung ist durch andere Faktoren bedingt und nennt sich "Provisionierung" - was am Ende eine Art Konfigurationsdatei ist. In dieser wird festgelegt, auf welche Funktionen die Benutzer einer Mietbox zugreifen können, ebenfalls darüber gesteuert wird die Konfiguration des Hotspots (der dann noch gesondert über das Kundencenter aktiviert werden muss) und noch 2-3-4-5-6 andere Dinge.

 

Ein naheliegender Gedanke ist hier "Ja, dann sollen sie halt die Provisionierung von der vorherigen Version nehmen", geht aber nicht. Auch AVM spielt gerne mit den APIs auf der Firtzbox rum und ändert dort mal was, dann gibt es noch Unterschiede bei der Hardware-Revision (für jede Revision eine eigene Datei), womit sich das dann zieht..

Blöd ist nur, dass nun Vodafone, wie zuvor auch Unitymedia, diese zeitlichen Rahmen extremst ausdehnt und es ohne Ende (und in den meisten Fällen grundlos) hinauszögert. Im Normalfall geht es mit der Provisionierung recht schnell, das Testen mit einer Testgruppe dauert auch keine Monate - VF siehts aber anders.

 

0 Gefällt mir
Holsie-Sabsie
Full Metal User
Full Metal User
Als Antwort auf Friedhelm65

am ‎01.07.2021 20:14

@Friedhelm65  schrieb:
@Holsie-Sabsie  schrieb:

Desweiteren eweiß keiner  ob VF bereits die angepasste 7.27 von AVM erhalten hat, da diese bekanntlich erst nach dem Release der Freien Version angepasst wird.

 

Das ist so nicht richtig.

Richtig ist, das Provider spätestens im gleichen Tag die offizielle Version bekommen, wie Besitzer der freien Boxen. 

Die Verzögerung ist durch andere Faktoren bedingt und nennt sich "Provisionierung" - was am Ende eine Art Konfigurationsdatei ist. In dieser wird festgelegt, auf welche Funktionen die Benutzer einer Mietbox zugreifen können, ebenfalls darüber gesteuert wird die Konfiguration des Hotspots (der dann noch gesondert über das Kundencenter aktiviert werden muss) und noch 2-3-4-5-6 andere Dinge.

 

 

das ist nicht richtig, denn dann müsste eine nagelneue leih Fritzbox die selben Einstellungsmölichkeiten aufweisen wie eine Kaufbox, was sie aber nicht tut, Dazu brauchst du nur eine nagelneue Leihbox sofern du mal eine bekommen solltest direkt an den PC anschließen und die Verbindung zum Inet ketrennt lassen. dann wirst du sehen das die "Provisionierung" keinen Einfluss auf die Einstellungsmöglichkeiten und Bestandteile der Firmware hat. 


0 Gefällt mir
Friedhelm65
Digitalisierer
Digitalisierer
Als Antwort auf Holsie-Sabsie

am ‎04.07.2021 17:46

@Holsie-Sabsie  schrieb:

das ist nicht richtig, denn dann müsste eine nagelneue leih Fritzbox die selben Einstellungsmölichkeiten aufweisen wie eine Kaufbox, was sie aber nicht tut, Dazu brauchst du nur eine nagelneue Leihbox sofern du mal eine bekommen solltest direkt an den PC anschließen und die Verbindung zum Inet ketrennt lassen. dann wirst du sehen das die "Provisionierung" keinen Einfluss auf die Einstellungsmöglichkeiten und Bestandteile der Firmware hat. 

Die Mietboxen sind alle vorprovosioniert - was landläufig auch Branding genannt wird. 

Die Provisionierung hat sogar erheblichen Einfluss auf Deine Zugriffsmöglichkeiten, z.B. der Echtzeitmitschnitt auf den Schnittstellen für den Datenverkehr oder Zugriff via Shell und Aktivierung von SNMP. Auf freien Boxen ohne weiteres möglich, auf Mietboxen stumpf deaktiviert. 

0 Gefällt mir
Friedhelm65
Digitalisierer
Digitalisierer
Als Antwort auf reneromann

am ‎04.07.2021 17:58

@reneromann  schrieb:

@Friedhelm65 

Letzten Endes kann man die Aussage des BSI soweit einkürzen, dass eine Verwendung von WLAN generell geschäftskritisch sein kann. Wer sich den Problemen nicht aussetzen will, verbietet WLAN und nutzt nur Kabel -- und genau das wäre ja am Ende auch die Methode für sämtliche Leute, die hier rumschreien...

 

Du hast die FragAttacks-Lücke nicht richtig verstanden. Es ist ein Design-Fehler, der erst jetzt aufgefallen ist. Dennoch ist es so, wie ich schrieb, nur aktive Komponenten, die ständig die SSID und BSSID durch die Gegend schreien, sind für FragAttacks-Angriffe interessant - und das machen nun mal Router ununterbrochen.

 

Bis zur FragAttacks-Lücke war aus Sicht des BSI WLAN nicht schlimmer als Kabelverbindungen - wenn denn die Vorgaben aus dem Grundschutz / modernisiertem Grundschutz entsprechend umgesetzt wurden (WPA2/3 mit PSK, 256bit Verschlüsseung usw). Zudem sind Angriffsszenarien auf Router einfacher, diese Geräte und die verwendete Firmware ist bestens bekannt und dokumentiert (nicht nur AVM), hier den Hebel anzusetzen ist vielversprechender, als bei einer WLAN-Steckdose, die für weitere interne Angriffe schlicht nicht genügend Rechenleistung bietet (auch wenn man auf der Hardware von WLAN-Lampen mittlerweile auch Doom spielen kann).

0 Gefällt mir
RobertP
Giga-Genie
Giga-Genie
Als Antwort auf Friedhelm65

am ‎04.07.2021 19:08

es gibt hier wahrscheinlich sehr wenige, die die Funktionsweise von Fragattacks wirklich verstanden haben  😉

0 Gefällt mir
reneromann
SuperUser
SuperUser
Als Antwort auf RobertP

am ‎04.07.2021 20:52

@RobertP  schrieb:

es gibt hier wahrscheinlich sehr wenige, die die Funktionsweise von Fragattacks wirklich verstanden haben  😉

Und ich bin mir ziemlich sicher, @Friedhelm65 gehört nicht dazu.

 

Denn anders als von ihm behauptet, betreffen FragAttacks eben nicht nur Geräte, die die BSSID rausposaunen, sondern FragAttacks betreffen ALLE Geräte im Netzwerk (also auch Alexa und das Smarthome aus fernöstlicher (Billig-)Produktion). Es geht bei FragAttacks schlichtweg darum, dass es durch Fragmentiertung der Pakete gelingt, Datenpakete in's Netz einzuschleusen - und das geht nunmal nicht nur beim Router, sondern bei jedem Gerät, dessen WLAN-Implementierung fehlerhaft ist.

 

Und die Aussage vom BSI in Bezug auf WLAN ist auch eher lückenhaft dargestellt. Fakt ist, dass WLAN schon immer ein Schwachpunkt war und eigentlich immer schon gesagt wurde, dass bei sicherheitskritischen Anwendungen ausschließlich LAN zum Einsatz kommen soll. Denn Fakt ist auch, dass WLAN -selbst mit modernster Verschlüsselung- nie den Sicherheitsstandard eines kabelgebundenen Netzwerks erreichen wird - es ist schlichtweg unmöglich, egal mit welchem Verschlüsselungsalgorithmus auch immer, 100%ige Sicherheit zu erreichen. Diese gibt es nur, wenn man die Daten nicht in den Äther hinausbläst, sondern über ein (im Gebäude gegen externe Zugriffe gesichertes) LAN-Netzwerk überträgt.