Pixel- und Nexus-Smartphones erhalten KRACK-Patch erst im Dezember

Google hat gegenüber Ars Technica bestätigt, dass seine Pixel- und Nexus-Geräte im November nicht wie sonst üblich alle Android-Sicherheitspatches eines Monats sofort erhalten. Ausgenommen ist dieses mal der Patch mit der Sicherheitsebene 6. November. Er umfasst ausschließlich die Schwachstellen, die für den KRACK genannten Angriff auf die WPA2-Verschlüsselung von WLAN-Netzen benutzt werden.

Das Geräte anderer Hersteller die Sicherheitsfixes nur mit einer „gewissen“ zeitlichen Verzögerung erhalten, ist nicht neu. Google teilt die Fehlerkorrekturen sogar bewusst auf mehrere Patches auf, damit seine Partner die Möglichkeit haben, sie schrittweise in ihre eigene Software zu implementieren. Samsung beispielsweise macht von dieser Regelung jeden Monat Gebrauch – die Smartphones der Koreaner erhalten mit dem monatlichen Update immer nur den auf den ersten des Monats datierten Patch – die restlichen Patches folgen im Monat danach.

Allerdings betont Ars Technica auch, dass die Verzögerung in diesem Fall kein großes Problem darstellt. Die KRACK-Schwachstellen erlauben es einem Angreifer, während sich ein Client wie beispielsweise ein Android-Smartphone mit einem verschlüsselten WLAN-Netz verbindet, Daten zu sammeln, die eine Anmeldung ohne gültiges WLAN-Passwort ermöglichen. Davon sollen laut den Forschern, die die Anfälligkeiten entdeckt haben, vor allem Linux-Clients und Geräte mit Android 6.0 Marshmallow und neuer betroffen sein.

Tatsächlich bedeutet das Umgehen der WPA2-Verschlüsselung in erster Linie, dass sich Clients mit beliebigen WLAN-Netzwerken verbinden können, sobald sie sich in der Nähe eines ungepatchten Clients befinden, der gerade eine Verbindung herstellt. Ars Technica vergleicht das Eindringen in ein verschlüsseltes WLAN-Netz mit einem offenen WLAN-Hotspot in einem Café, dessen Netz man sich mit 25 anderen Personen teilt. Android „sei es gewohnt“, in solchen Umgebungen zu kommunizieren, heißt es in dem Bericht.

Beispielsweise stellten Android-Geräte stets nur verschlüsselte Verbindungen zu Googles Play Services her, um Updates über den Play Store zu beziehen, Daten in Google Drive zu sichern oder Bilder mit Google Fotos zu synchronisieren. Damit sei sichergestellt, dass auch in unverschlüsselten WLAN-Netzwerken ein Zugriff auf Nutzerdaten unmöglich sei. Auch jegliche per sicherem HTTP (HTTPS) verschlüsselte Websites gäben keinerlei Daten in einem unverschlüsselten Netzwerk preis. Welche Apps von Drittanbietern verschlüsselt mit ihren Servern kommunizieren und von daher bedenkenlos ohne KRACK-Patches genutzt werden können, können Nutzer jedoch nicht erkennen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de