In WLAN-Modulen der Hersteller Cyperess und Broadcom steckt ein Design-Fehler, der eine Sicherheitslücke darstellt. Angreifer könnten die Schwachstelle ausnutzen, um Teile des Netzwerkverkehrs zur entschlüsseln und abzuschnorcheln. Da die Chips in einer Vielzahl von Geräten zum Einsatz kommen, beispielsweise Routern, Smartphones und Computern, sind weltweit Milliarden von Nutzern einem Risiko ausgesetzt.


Eine Schwachstelle namens "KrØØk"
Die Schwachstelle namens "KrØØk" haben Sicherheitsforscher von ESET Research entdeckt und jetzt im Rahmen der RSA Security Conference veröffentlicht. Die betroffenen Chips, welche vom Hersteller Broadcom und dessen Tochterunternehmen stammen, nutzen in bestimmten Situation zur Verschlüsselung eine Zeichenkette, die lediglich aus Nullen besteht. Das ermöglicht es Angreifern in Reichweite eines Funknetzwerks, in das betroffene Geräte eingebucht sind, das Mitlesen von Datenpaketen. Einzelheiten nennen die ESET-Forscher in einem PDF-Dokument.

Apple reagierte bereits im Oktober
Auch in etlichen Apple-Devices sind die fehlerhaften Chips zu finden. Betroffen sind iPad mini 2, iPhone 6, 6S, 8 und XR sowie das MacBook Air 13" aus 2018. Da die Sicherheitslücke zwar erst jetzt veröffentlicht wurde, in Cupertino aber schon seit einigen Monaten bekannt ist, hat Apple sie bereits im Oktober vergangenen Jahres mit macOS 10.15.1 sowie iOS/iPadOS 13.2 behoben. Nutzer der genannten Geräte, welche diese bisher nicht aktualisiert haben, sollten das umgehend nachholen. Auch Amazon hat nach eigener Aussage von der Schwachstelle betroffene hauseigene Geräte wie etwa den smarten Lautsprecher Echo und den E-Book-Reader Kindle bereits mit einem Update abgesichert.

Zahlreiche WLAN-Router betroffen
Sorgen machen müssen sich hingegen die Besitzer zahlreicher WLAN-Router. Diese Geräte werden von den Herstellern traditionell nur unzureichend und in vielen Fällen überhaupt nicht mit Sicherheitsupdates versorgt. Die hierzulande verbreiteten Fritz!Boxen sind allerdings nach derzeitigem Kenntnisstand nicht von der Sicherheitslücke betroffen. Auch zahlreiche Android-Smartphones sowie der Raspberry Pi 3 weisen die Schwachstelle auf, ob für diese Geräte Aktualisierungen zur Verfügung stehe, ist derzeit nicht bekannt.