WPA2-Lücke: Youtube löscht Krack-Video

- 09. November 2017

Youtube hat ein Video eines der niederländischen Entdecker der WPA2-Lücke Krack gelöscht. Pikant, denn die Lücke wirft unter anderem ein schlechtes Licht auf das Android-Ökosystem des Youtube-Besitzers Google. Derweilen bieten die holländischen Forscher Software an, um die eigene WPA2-Infrastruktur zu testen.

Auf Twitter berichtet Mathy Vanhoef, einer der Autoren des Krack-Papers [PDF], dass Youtube sein Video zu Krack gelöscht habe. Die Plattform finde darin “harmful or dangerous content”. Vanhoef erhob zwar Einspruch gegen die Entscheidung, den lehnte Googles Videoplattform allerdings ab und hielt die Löschung aufrecht: das Video stelle eine Verletzung der Community-Guidelines dar, schreiben die Betreiber in ihrer Antwort.

Pikant ist die Löschung im Zusammenhang mit der Tatsache, dass Krack in besonderem Maße Googles Android-Systeme ab Version 6.0 betrifft, die “wpa_supplicant” verwenden. Zwar ließe sich die Lücke patchen, aber viele Hersteller insbesondere von günstigen Geräten scheinen sich damit nicht weiter belasten zu wollen. In der Folge sind noch zahlreiche ungepatchte Android-Geräte im Umlauf. Das mag nicht Googles Schuld sein, wirft aber einmal mehr kein gutes Licht auf die Sicherheit von Android. Wir haben Youtube um eine Stellungnahme gebeten.

Ein Trost ist, dass sich WPA2-Passwörter mit Hilfe der Attacke nicht herausfinden lassen. Auch können Angreifer per HTTPS oder VPN gesicherten Traffic nicht mitlesen. Aber sie können die Daten ungesicherter HTTP-Verbindungen mitschneiden und anschließend entschlüsseln. Zwar verwenden Client und Access Point zum Austausch der Einmalschlüssel bei WPA2 eine Nonce (Number used Once), doch scheitert die Verhandlung zwischen Client und Server (was der Angreifer herbeiführen kann), verwendet der Client die Nonce beim Wiederaufbau der verschlüsselten Verbindung erneut. Die Nonce wird zur Ntwice, was sich die Key Reinstallation Attacke zunutze macht.

Wer nun unsicher ist, ob die eigene WPA2-Infrastruktur von Krack betroffen ist, kann das mit einer neuen Python-Software der Krack-Entdecker testen. Die wartet auf Github und läuft auf Kali-Linux. Sie testet unter anderem den 4-Way- und Gruppen-Key-Handshake bei Clients und den FT Handshake auf Access Points. Obwohl von den Entwicklern nicht überprüft, soll das Testskript auch auf Ubuntu 16.04 laufen.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen