Eine schwere WiFi Sicherheitslücke in der Linux Distribution Ubuntu 13.10 macht gerade eine große runde im Internet. Es geht darum das Ubuntu die gespeicherten WiFi Passwörter für alle sichtbar und im Klartext in /etc zu finden sind. Eigentlich wird so etwas im geschützten und verschlüsselten User Verzeichnis gespeichert. In Ubuntu 13.10 ist es ohne die User zu Informieren allerdings nicht so. Ziel der Ubuntu Entwickler war es eigentlich alle WiFi Passwörter und Netze für jeden Benutzer des Ubuntu System benutzbar sind. Ein schwerer Fehler wie es sich im Nachhinein herausstellt.
Gefunden hat die Sicherheitslücke Per Guth und hat in der Mailingliste von Ubuntu auch gleich darauf hingewiesen. Allerdings bleibt ein Offizieller Fix seitens Ubuntu bisher aus und so hat Per Guth in seinem Blog echt.guth.so gleich ein passenden Workaround bereitgestellt. Die Reaktion des Ubuntu-Entwickler Dimitri Ledkov dazu:
„Die Anleitung macht mir Angst. Man sollte kein eigenes Setuid-Binary kompilieren (müssen).“
Einig sind sich aber alle das es keine gute Idee ist alle WiFi Profile in /etc zu speichern. Zwar sind die Dateien nur mir ROOT Rechten lesbar, aber wenn z.B. ein Angreifer ein Laptop ausspioniert kann dieses schon ein Sicherheitsrisiko sein.
Hi…
Anscheinend ist dies schon gefixt worden man findet unter etc/NetworkManager/system-connections in der Config-Datei das Passwort nicht mehr….
> Zwar sind die Dateien nur mir ROOT Rechten lesbar
Das bedeutet leider: „physischer Zugriff“ → „sehr leichter Zugriff auf Wifi-Passwörter“.