Risiko WPS

WPS-Lücken machen WLAN-Router angreifbar

Wissen | Know-how

WPS erspart dem Nutzer beim Verbindungsaufbau zu einem WLAN die Eingabe eines komplizierten Passworts. Patzt der Router-Hersteller jedoch bei der Implementierung, können sich auch Angreifer ohne Passwort mit dem Netz verbinden. Die jüngste WPS-Lücke heißt Pixiedust und betrifft unter anderem Zwangsrouter von Vodafone.

Wi-Fi Protected Setup, besser bekannt als WPS, ist grundsätzlich eine feine Sache: Ist die Komfortfunktion aktiv, gibt man etwa auf dem Smartphone beim erstmaligen Verbindungsaufbau mit einem WLAN lediglich eine achtstellige PIN statt des komplizierten WLAN-Passworts ein; das bekommt das Smartphone dann automatisch vom Router. Alternativ dazu bietet WPS auch noch die sogenannte Push-Button-Methode (PBC), bei der sogar die Eingabe der WPS-PIN entfällt. Bei PBC drückt man einen Knopf am Router oder in dessen Web-Interface, um den Authentifizierungsmodus scharf zu schalten. Der erste Client, der sich anschließend über WPS beim Router meldet, erhält das WLAN-Passwort für den Verbindungsaufbau.

PBC ist schwer angreifbar, da es nur ein kurzes Zeitfenster für die Authentifizierung öffnet. Ein Angreifer muss sich auf die Lauer legen, um diesen Zeitpunkt abzupassen und dem legitimen Client zuvorzukommen. Die WPS-PIN-Methode ist hingegen oft dauerhaft aktiv.

Was bisher geschah

Die WPS-PIN-Methode gilt zwar als sicher – allerdings nur, wenn sie der Router-Hersteller gemäß der 2006 festgeklopften Spezifikation implementiert. Diese rät vom Einsatz einer statischen achtstelligen PIN ab. Stattdessen sieht die Spezifikation etwa Router mit einem kleinen Display vor, welches bei Bedarf eine einmalig gültige PIN anzeigt.

In der Praxis macht das kaum ein Hersteller. Stattdessen sind statische PINs allgegenwärtig: Es findet sich nur zu oft eine aufgedruckte WPS-PIN auf dem Gehäuse des Routers oder in dessen Webinterface. Statische PINs untergraben die Sicherheit des Standards: Bei einer achtstelligen PIN gibt es zwar theoretisch zehn Millionen Möglichkeiten. Die PIN wird bei der Authentifizierung jedoch zweigeteilt und beide Teile werden separat überprüft – die Anzahl der maximal nötigen Versuche, die ein Angreifer zum Erraten der PIN benötigt, sinkt dadurch auf zweimal 10 000. Als im Jahr 2011 derartige Brute-Force-Angriffe auf die WPS-PIN publik wurden, haben betroffene Hersteller Gegenmaßnahmen ergriffen, etwa indem sie die Anzahl der möglichen Versuche in einem bestimmten Zeitfenster begrenzten. Dennoch sind viele Router weiterhin auf diese Weise angreifbar; entweder weil der Hersteller keine abgesicherte Firmware anbietet oder weil der Router mit einer veralteten Version betrieben wird – oder auch beides. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige
Anzeige