Nexus & Pixel: Google hält Patch für die WLAN-Lücke KRACK zurück – aus einem absurden Grund

android 

Vor etwa vier Wochen ist wie aus dem Nichts die KRACK-Lücke aufgetaucht, die praktisch alle modernen Betriebssysteme und Plattformen betroffen hat. Dabei handelt es sich um eine Lücke in der WPA2-Verschlüsselung des WLAN-Protokolls, die von allen großen Herstellern zeitnah gestopft wurden oder noch werden. Google allerdings wird die Lücke bei den hauseigenen Smartphones noch einige Wochen offen lassen. Das liegt aber nicht daran, dass es keinen Fix geben würde.


In den letzten Monaten wurde die Technologie-Branche gleich zwei mal ordentlich aufgerüttelt: Einmal durch die BlueBorne-Lücke in Bluetooth und nur kurze Zeit später durch KRACK. Bei beiden handelt es sich um Lücken in den Protokollen, womit die Zielgruppe extrem groß ist und meist Betriebssystem-übergreifend funktioniert. Da es sich bei beiden um grundlegende Technologien zum Datenaustausch handelt, kann natürlich auch keine Deaktivierung empfohlen werden.

KRACK Attack Logo

So wie alle großen Betriebssysteme, war auch Android von KRACK betroffen. Googles Entwickler haben sich auch gleich an die Arbeit gemacht und haben die Lücke erkannt und gestopft. Den Patch stellt man im Rahmen des November-Sicherheitsupdates für Android zur Verfügung – allerdings nur für alle Dritthersteller und nicht für die eigenen Smartphones. Der Grund dafür liegt an den hauseigenen strengen Vorschriften, die man wohl selbst bei einer schweren Lücke nicht übergehen möchte.

Das Sicherheits-Update bestand in diesem Monat aus drei Paketen. Eines vom 1. November, eines vom 5. November und eines vom 6. November. Die KRACK-Lücke wird mit dem Paket vom 6. November gestopft, allerdings macht Google am 5. eines jeden Monats einen Strich drunter und rollt diese Version dann für die eigenen Smartphones aus. Alle noch unterstützen Pixel- und Nexus-Smartphones bekommen also die ersten beiden Pakete, das letzte aber nicht. Zumindest nicht in diesem Monat.

So gibt es nun die Situation, dass alle anderen Smartphone-Hersteller das Update schnell adaptiert haben und bereits ausrollen oder den Rollout angekündigt haben, und Google damit sogar zuvorkommen. Wenn man bedenkt dass der Fix hausintern entwickelt wurde, eine nicht wirklich nachvollziehbare Situation.



Die Pixel- und Nexus-Smartphones werden den Patch für die WLAN-Lücke nun erst im Dezmber bekommen und sind somit also noch einen weiteren unnötigen Monat lang gefährdet. Es wäre für Google natürlich ein leichtes gewesen den Termin für den Rollout einfach um einen Tag nach hinten zu verschieben oder ein weitere hinterherzuschieben, aber die internen Richtlinien scheinen das wohl nicht zu erlauben.

Nutzer des Custom ROMs Lineage OS durften sich schon kurz nach dem Entdecken der Lücke über einen Patch freuen und haben seit Wochen bereits sichere Smartphones in den Händen. Nutzer aller anderen Smartphones, gerade wenn sie bereits mehr als 2 Jahre auf dem Buckel haben, können von dem Update nur träumen und werden es wohl niemals bekommen. Damit bleiben all diese Geräte anfällig für die Lücke.

Auch Google selbst hat beim Desktop-Betriebssystem Chrome OS bereits ein Patch ausgeliefert und hat die Plattform gegen die Lücke abgesichert. Es bleibt zu hoffen dass die Lücke auch weiterhin nur theoretischer Natur bleibt und sich nicht plötzlich eine Android-App verbreitet, die genau dies ausnutzt – denn spätestens dann würde sich Googles Verhalten in dieser Sache rächen.

[XDA Developers]


Teile diesen Artikel:

comment ommentare zur “Nexus & Pixel: Google hält Patch für die WLAN-Lücke KRACK zurück – aus einem absurden Grund

    • OnePlus, NVidia und Essential haben das Update bereits ausgeliefert und auch Nokia und Sony dürften schnell nachziehen.
      Aber darum geht es hier gar nicht. Viel unverständlicher ist es doch, dass ein Patch für eine doch sehr schwere Lücke bereits steht, aber nicht ausgeliefert wird.

  • Normalerweise erwartet man von einen Hersteller, dass Schwachstellen abhängig von der Kritikalität zeitnah gepatcht werden.
    Typischerweise werden diese Patche innerhalb eines Patchzyklus ausgerollt. Nur in besonders schweren Fällen wird ein Notfallpatch veröffentlicht.

    Nun kann man sich fragen, ob dieser Patch ein Notfallpatch ist. Dazu vielleicht die folgenden Überlegungen:
    Die Schwachstelle betrifft nur die sonst verschlüsselte WLAN Verbindung. Die Datenübermittlung nach der WLAN Verschlüsselung ist typischerweise nicht zusätzlich leitungsverschlüsselt. Der WLAN Betreiber und andere WLAN Teilnehmer können normalerweise auch im WLAN mitlesen.
    Daher muss eine Verschlüsselung applikationsbasiert erfolgen, wenn diese helfen soll.

    Daher sehe ich hier keine Kritikalität.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.