Werbung
TP-Link informiert über eine Sicherheitslücke bei der WLAN-Verschlüsselung seines WiFi-LTE-Routers Archer MR500. Die Schwachstelle wurde von der Stiftung Warentest im Rahmen eines Tests von Mobilfunk-Hotspots entdeckt.
Die Funktion Wireless Protected Setup (WPS) im Router soll den Verbindungsaufbau mit Endgeräten in einem WLAN-Netzwerk erleichtern. Um das zu realisieren, stehen verschiedene Modi zur Authentifizierung bereit. Beim TP-Link Archer MR500 ist die Standardkonfiguration der WPS PIN-Entry-Mode allerdings anfällig für einen WPS-Pixie-Dust-Angriff, der auf einer bisher mangelhaften Generierung von Zufallszahlen basiert. Diese werden zum Austausch der PIN zwischen Router und Endgeräten benötigt. Die Schwachstelle verbirgt sich genau dort: Nach Erhalt der richtigen PIN sendet der Router den WPA-Schlüssel im Klartext. In der Folge können durch einen Angriff auf die WPS-PIN Unbefugte potentiell in das WLAN-Netzwerk eindringen.
Um die Sicherheit seiner Kunden zu garantieren, empfiehlt TP-Link zwei Handlungsoptionen: