Notice (8): Undefined index: language [APP/Controller/AppController.php, line 86]
Warning (512): Unable to emit headers. Headers sent in file=/var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php line=853 [CORE/src/Http/ResponseEmitter.php, line 48]
Warning (2): Cannot modify header information - headers already sent by (output started at /var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php:853) [CORE/src/Http/ResponseEmitter.php, line 148]
Warning (2): Cannot modify header information - headers already sent by (output started at /var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php:853) [CORE/src/Http/ResponseEmitter.php, line 181]
Warning (2): Cannot modify header information - headers already sent by (output started at /var/www/html/website/releases/19/vendor/cakephp/cakephp/src/Error/Debugger.php:853) [CORE/src/Http/ResponseEmitter.php, line 206]
Julian Joswig IT: Blog - "Wi-Fi Password Sharing" in iOS 11 kann ggf. Risiko für Unternehmen sein

Julian Joswig: IT Blog

"Wi-Fi Password Sharing" in iOS 11 kann ggf. Risiko für Unternehmen sein

Geschrieben am 20. Jan 2018, 17:41

Apple hat im Januar 2018 den iOS Security Guide aktualisiert und Inhalte zu neuen Funktionen in iOS 11 ergänzt (siehe auch Apple aktualisiert iOS Security Guide für iOS 11). Ein neuer wesentlicher Absatz findet sich im Dokument, welcher in der Dokumentenrevision nicht erwähnt wird: "Wi-Fi Password Sharing". Die Funktion, welche für den Privateinsatz sehr hilfreich sein kann, kann für Unternehmensnetzwerke unter bestimmten Bedingungen Risiken erzeugen. Welche das sind, wird im Folgenden erläutert.

Erläuterungen zu "Wi-Fi Password Sharing"

"Wi-Fi Password Sharing" ermöglicht es, ein W-LAN Passwort zwischen befreundeten Geräten zu übertragen, so dass ein etwaiges W-LAN Passwort nicht erneut eingegeben werden muss. Dazu ist es notwendig, dass Bluetooth aktiviert, beide Personen sich jeweils in den Kontakte angelegt haben und die beiden Geräte nahe beinander sind (maximaler Abstand ca. 1 Meter). Nach Freigabe der Übertragung auf dem Gerät des Senders wird der W-LAN-Zugang zum Empfängergerät übertragen. Ein W-LAN-Zugriff ist fortan möglich. Die Funktion erscheint somit auf den ersten Blick hinsichtlich Komfort einen großen Mehrwert für den Nutzer zu bringen. Die Übertragung des W-LAN-Passworts (PSK, Pre Shared Key) geschieht per Bluetooth, wie die Erklärung von Apple aus dem Dokument aufzeigt: "Once identify is proven, the grantor sends the requestor the 64 character PSK, which can also be used to join the network." Der Umstand, dass lediglich der PSK (Pre Shared Key) des W-LAN übertragen wird, lässt darauf schließen, dass mit Zertifikaten abgesicherte W-LAN's (wie üblich in Unternehmen) davon nicht betroffen sind und somit potenziell keine Gefahr für die Sicherheit davon ausgeht. Eine Deaktivierung dieses Features lässt sich, laut dem Security Guide, mittels einer Mobile Device Management Lösung (MDM) erreichen: "Organizations can restrict the use of Wi-Fi password sharing for devices or apps being managed by using an MDM solution." Eine offizielle Einstellung dazu gibt es für die iOS-Konfigurationsprofile nicht. Eine Recherche meinerseits hat jedoch ergeben, dass zur Deaktivierung der Funktion AirDrop auf dem Gerät vollständig deaktiviert sein muss.

Risiko: W-LAN PSK in Konfigurationsprofilen

Wie oben erläutert, wird beim "Wi-Fi Password Sharing" der Pre-Shared-Key eines W-LANs auf ein befreundetes Gerät per Bluetooth übertragen. Einer Recherche nach trifft dies ebenfalls auf W-LANs zu, welche per Konfigurationsprofil und einer Mobile Device Management Lösung auf das Gerät gespielt wurden (vgl.: https://www.jamf.com/jamf-nation/discussions/25413/ios-11-wifi-sharing). Dies kann für W-LANs in Unternehmen ein Problem darstellen, sofern diese nicht per Zertifikat, sondern per PSK abgesichert sind. Die Risiken sind:
  • Wenn ein per MDM gemanagtes Gerät den PSK im iOS Konfigurationsprofil auf ein befreundetes Gerät überspielt, kann selbst bei Unkenntnis des W-LAN PSK somit ein fremdes Gerät dem Unternehmensnetzwerk beitreten.
  • Erhält ein befreundetes, aber nicht per MDM gemanagtes Gerät den W-LAN PSK, wird dieser über die iCloud Synchronisation auf fremde Gerät, bspw. ein macOS-Gerät übertragen. Das Passwort kann dann in der macOS Keychain eingesehen werden. Der W-LAN PSK ist damit nicht mehr sicher.
In beiden Fällen kann davon ausgegangen werden, dass entweder sich fremde Geräte in einem Netz befinden oder das Passwort für den Zugang bekannt wird. Eine Sicherheit ist dann nicht mehr gewährleistet.

Abhilfe nur durch AirDrop-Deaktivierung oder Umstellung auf zertifikatsbasierte Authentifizierung

Es gibt zwei mögliche Ansätze zur Behebung der Sicherheitsrisiken, wobei jedoch eine der beiden lediglich als Workaround zu sehen ist.
  • Workaround: Eine kurzfristige Eindämmung des Risiko's bringt die Deaktivierung von AirDrop auf gemanagten Geräten. Dazu sieht die iOS Konfiguration einen Parameter "allowAirdrop" vor, welcher AirDrop auf einem Gerät vollständig deaktiviert. Dann lässt sich "Wi-Fi Password Sharing" nicht mehr benutzen und ein W-LAN-Passwort somit nicht auf ein fremdes Gerät übertragen. Voraussetzung ist jedoch, dass das entsprechende iOS-Gerät "Supervised" ist, was nicht automatisch gegeben ist.
  • Langfristlösung: Aus Sicherheitsgründen sollte erwogen werden, ob der Zugriff zu einem Firmennetzwerk überhaupt noch auf einem Passwort basieren sollte oder ob die Umstellung auf zertifikatsbasierte Authentifizierung das Mittel der Wahl ist. Die Funktion "Wi-Fi Password Sharing" überträgt nach aktueller Wissenslage keine Zertifikate. Der Zugriff zu einem W-LAN wäre daher nicht gefährdet. Zudem bringt eine zertifikatsbasierte Authentifizierung weitere Vorteile mit sich, die insbesondere in Unternehmensnetzwerken Vorteile bringen (bspw. Widerruf einzelner Zertifikate, höhere Sicherheit).
Quellen:

Julian Joswig

Julian Joswig Facebook Julian Joswig LinkedIn Julian Joswig Twitter Julian Joswig XING

Über diesen Blog

Was ist der Inhalt dieses Blogs, fragt ihr euch vielleicht? Mein Name ist Julian Joswig und ich bin großer Fan von IT und Technologie (hauptsächlich Linux, Server, Netzwerke und alle damit verbundenen Themen). Manchmal beiße ich mir an schwierigen Sachverhalten fast die Zähne aus. Habe ich jedoch eine Lösung gefunden, möchte ich diese mit der Welt teilen. Beruflich arbeite ich als Management Consultant in Deutschland mit Fokus auf IT und Business.

Neueste Artikel:

Artikelarchiv:

Twitter Timeline: