KRACK-Lücke geschlossen, Loch im Apple-Schlüsselbund bleibt offen

Keine Kommentare
 

Die so genannte KRACK-Lücke in der WLAN-Verschlüsselung hat alle großen Hersteller aufgeschreckt. Sie ermöglicht es Hackern, Datenübertragungen in einem WLAN mitzulesen.


 

Mann sitzt mit Laptop und Tablet am Tisch mit Vorhängeschloss auf virtuellem Bildschirm

Die KRACK-Lücke wurde nun auch von Apple geschlossen. (Den Rise / shutterstock.com)

Google und Microsoft haben diese Sicherheitslücke schnell geschlossen und die entsprechenden Patches bereitgestellt. Apple hat ein wenig länger gebraucht, bietet seinen Nutzern jetzt aber auch eine Lösung des Problems an. Allerdings nur für die macOS Versionen 10.11 („El Capitan“) und 10.12 („Sierra“). Für die Version 10.10 („Yosemite“) und ältere Versionen stellt Apple keinen Patch zur Verfügung.

Apples bekannte Vorgehensweise

Apple bleibt damit offenbar seiner Strategie treu, User mit mehr oder weniger sanfter Gewalt zum Umstieg auf die jeweils neueste Version von macOS zu zwingen. Jedenfalls ist keine konsistente Strategie erkennbar, in welchen Fällen der Konzern auch Patches für ältere Versionen seines Betriebssystems anbietet.

Die KRACK-Lücke ist kein Grund zur Panik

Selbstverständlich sollte jeder Nutzer die Patches installieren und somit die Sicherheitslücke schließen. Grund zur Panik besteht für den normalen User mit einem privaten WLAN aber nicht. Das liegt daran, dass das Ausnutzen dieser Lücke für Hacker mit einem hohen Aufwand verbunden ist und ihnen nur einen vergleichsweise geringen Nutzen einbringt. Denn anders als andere Sicherheitslücken kann die KRACK-Lücke nicht durch einen gleichzeitigen Angriff via Internet auf viele Rechner ausgenutzt werden. Stattdessen muss ein Angreifer sich innerhalb der Reichweite des jeweiligen WLAN-Routers befinden und vor Ort einen technisch recht aufwändigen Angriff durchführen.

Verschlüsselte Internetverbindungen bleiben verschlüsselt

Selbst nach einem erfolgreichen KRACK-Angriff können Hacker nur diejenigen Daten mitlesen, die über eine unverschlüsselte Internetverbindung übertragen werden. Dies trifft insbesondere auf Bezahlvorgänge beim Online-Banking nicht zu, die User können aufatmen. Die KRACK-Lücke betrifft ausschließlich die Verschlüsselung der Funksignale zwischen Endgerät und WLAN-Router, nicht eine Verschlüsselung der Internetverbindung selbst.

Apples Schlüsselbund – die Crux mit den gespeicherten Passwörtern

Vermutlich kennt jeder das Problem: Passwörter sollen schwer zu erraten sein und darüber hinaus wird geraten, für jede Anwendung ein anderes Passwort zu verwenden. Am Ende läuft dies regelmäßig darauf hinaus, dass sich niemand mehr all die Passwörter merken kann. Deswegen gibt inzwischen verschiedene Lösungen, um Passwörter, Pins und andere sensible Daten zu speichern. Das ist so lange eine gute Idee, wie niemand unbefugt auf diese Daten zugreifen kann. Die Apple-Lösung für das Problem der vielen Passwörter heißt “Keychain” beziehungsweise “Schlüsselbund”. Dort werden neben Anmeldedaten beispielsweise auch Kreditkartendaten gespeichert. Und genau hier hat sich eine weitere Sicherheitslücke aufgetan, die es Hackern ermöglicht, diese Daten zu stehlen.

Angriff durch Schadsoftware

Ermöglicht wird der Datendiebstahl dadurch, dass Apps auf den Schlüsselbund zugreifen können. Wie so oft besteht das Problem darin, dass eine vom User unwissentlich aufgerufene Schadsoftware mit dessen Benutzerrechten ausgeführt wird. Damit kann die Software auf den Schlüsselbund zugreifen, wenn der User angemeldet ist.

Wie schützt man sich vor dem Schlüsselbund-Bug?

Ein Sicherheitsupdate steht nur für die neueste Version macOS 10.13 zur Verfügung („High Sierra“). Alle anderen User sollten die Möglichkeit nutzen, den Schlüsselbund zu sperren und durch ein separates Passwort zu schützen. Dies ist wenig komfortabel, weil das Passwort bei jedem Zugriff auf den Schlüsselbund eingegeben werden muss, aber derzeit der einzige wirksame Schutz. Und natürlich gilt auch hier: Keine Apps aus nicht vertrauenswürdigen Quellen installieren! Dadurch wird das Risiko deutlich reduziert, Opfern von Schadsoftware zu werden.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen