Share your experience!
Hallo,
sind die Sony Android TV-Geräte eigentlich von der KRACK-Attacke betroffen?
Falls ja: ist hier kurzfristig mit einem Update zu rechnen oder sollte man die Geräte vorsorglich aus dem WLAN nehmen?
Danke und viele Grüße,
Jens
So wie ich das verstehe, ist das Risiko für dich gering. Ein konkreter Angriff wurde bisher noch nicht beobachtet und der Angreifer muss sich in deiner Nähe befinden, z. B. ein technisch äußerst versierter Nachbar.
Ein Update ist zumindestens bei unseren Geräten noch möglich (mit Nougat). Ansonsten würde es reichen, wenn dein Router ein Update erfährt, aber auch das wird wohl dauern. Meine Router-Hersteller schreiben übrigens auf ihren Webseiten, dass sie nicht betroffen sind, da sie das Protokoll WPA2r nicht implementiert haben.
Hallo Jens,
derzeit sind alle Geräte, die sich über WPA mit dem W-Lan Netzwerk verbinden betroffen.
Allerdings können die Daten nur abgegriffen werden, wenn man unsicherer Seiten (http://) nutzt. Sofern du über sichere Seiten (https://) im Web unterwegs bist sind die Daten verschlüsselt und können nicht ausgelesen werden.
Die Router von AVM sind laut deren eigener Meldung zum Beispiel sicher, da sie den betroffenen Standard 802.11r nicht nutzen: https://avm.de/aktuelles/kurz-notiert/2017/wpa2-luecke-fritzbox-am-breitbandanschluss-ist-sicher/
Ich denke, dass alle Hersteller derzeit an einem Fix für dieses Problem arbeiten - wann sie erhältlich sind kann ich jedoch derzeit nicht beantworten.
Schöne Grüße
Peter
P.S. Winposur war schneller
es wäre schon etwas gewonnen wenn Sony endlich die regulären Android sicherheitsupdates ausliefern würden.... wie ist der aktuelle stand? Mai 2016?
Hallo zusammen,
Soweit ich das verstanden habe geht es bei dem Thema nicht nur um Infrastruktur-Komponenten (Router, Access-Points usw.) sondern auch um WLAN Clients die für die Attacke anfällig sein könnten. Dazu müssten aber die jeweiligen Hersteller Informationen und ggf. Updates liefern.
Bin mal gespannt für wieviele der WLAN-fähigen Geräte die ich im Einsatz habe (und das sind einige) in nächster Zeit entsprechende Updates geliefert werden. Zum Glück habe ich mit meiner WiFi-Lösung Möglichkeiten Geräte, für die es derzeit bzw. in naher Zukunft kein Update gibt, weitgehend zu isolieren (separate SSID mit eigenem VLAN und Kommunikation über Firewall eingeschränkt).
Wie wahrscheinlich ein Angriff derzeit ist, spielt für mich eigentlich keine Rolle: wenn es erstmal eine bekannte Angriffsmöglichkeit gibt dauert es meist nicht lange bis entsprechende Tools im Umlauf sind.
gibt es seitens Sony inzwischen ein offizielles Statement? Gibt ja außer Smart TVs noch genügend weitere Produkte im Sortiment die WLAN-fähig sind (z.B. Systemkameras, PlayStation 4).
Danke und viele Grüße,
Jens
Hallo Jens,
das Thema wurde eskaliert und ist in Arbeit.
Allerdings betrifft es meines Wissens nur Produkte, die den Standard 802.r unterstützen.
Schöne Grüße
Peter
KRACK zielt unter anderem auf 802.11r und betrifft praktisch ALLE Android-basierten geräte ab 6.0 mit wpa_supplicant https://www.krackattacks.com/
auch wenn ein ausnützen der lücke im einzelfall unrealistisch sein mag gibt es mittlerweile millionen von IoT-geräten deren zahlreiche, von den herstellern nie gepatchte sicherheitslücken zum aufbau von botnetzen dienen. hierzu zählen neben routern, kameras, NAS.... durchaus auch internetfähige TVs. https://www.wired.com/story/reaper-iot-botnet-infected-million-networks/
Das mangelnde bewusstsein seitens der hersteller ist eine schiere katastrophe und sollte meines erachtens nach mit gesetzlichen regelungen endlich über empfindliche geldstrafen aktiv verfolgt werden. Schon alleine wie eingangs von mir erwähnt das völlige ausbleiben der auslieferung von sicherheitsupdates unabhängig von systemupdates reicht für mich aus, das vertrauen in Sony hier völlig zu verlieren.
nochmals: es ist per se keine dumme idee, Android (TV) als grundlage für "smart"TVs zu verwenden, aber die mangelnde pflege und fehlerhafte implementierung (sowohl hersteller als auch google) lassen mich so langsam an der zukunft dieses TV-OS ernsthaft zweifeln.
Hallo,
wie schon zuvor geschrieben "Das Thema wurde eskaliert und ist bereits in Arbeit".
Schöne Grüße
Peter
Ich betreibe mehrere Sony Geräte (TVs, Bluray Player) über WLAN und habe gestern entsprechend bei dem Sony EU Support nachgefragt. Hier die Antwort:
vielen Dank, für Ihre Anfrage beim SONY Support.
Für Sony Geräte wird kein Update bereitgestellt werden, um die Schwachstelle bei WPA2 zu schließen.
Diese Sicherheitslücke ist nicht kritisch für Privatanwender.
Außerdem muss die Sicherheitslücke bei Router geschlossen werden. Fernseher und andere Client Geräte sind hier nicht betroffen, weil der Router die zentrale Instanz ist beim Verbindungsaufbau.
In diesem Fall wenden Sie sich bitte direkt an Ihren Router Hersteller.
Hinweis: Die WPA2 Sicherheitslücke ist für Privatanwender überhaupt nicht als kritisch eingestuft.
für Firmennetzwerke ist das Problem allerdings wesentlich kritischer. Sie können dazu weitere Informationen mithilfe von Onlinesuchmaschinen ausfindig machen.
Wir danken für Ihr Verständnis, auch wenn Sie sicherlich eine andere Antwort erwartet haben und wir in diesem Fall zu keiner anderen Lösung gekommen sind.
---
Das ist natürlich sehr enttäuschend, da diese Lücke technisch relativ einfach zu schließen ist - Microsoft, Apple, Google, AVM, etc. haben alle schon Lösungen bereitgestellt.
Privatanwender haben ebenfalls Anspruch auf grundlegende Gerätesicherheit. Wenn eine ganze Sicherheitsebene (WPA2) weg fällt, ist das auf jeden Fall kritisch.
Meine AVM Router sind gegen KRaCK gepatcht, was die Lücke aber nicht schließen kann:
Is it sufficient to patch only the access point? Or to patch only clients? Currently, all vulnerable devices should be patched. In other words, patching the AP will not prevent attacks against vulnerable clients. Similarly, patching all clients will not prevent attacks against vulnerable access points. Note that only access points that support the Fast BSS Transition handshake (802.11r) can be vulnerable. (https://www.krackattacks.com)
Besonders betroffen sind Kunden, die Android TV in Ihren Sony Geräten nutzen. Wenn Sony dies nicht als kritische Sicherheitslücke für Privatanwender sieht, werde ich meine zukünftigen Kaufentscheidungen entsprechend anpassen müssen.