To sikkerhedsforskere finder WPA3-sårbarheder
Kredit:CC0 Public Domain
Du mener, at mit sikkerhedstæppe ikke er sikkert? En næste generations standard "skulle gøre adgangskodeknæk til en saga blot, " klakkede Ars Technica , efter at have fundet ud af, at der blev fundet sårbarheder i WPA3-protokollen, som kunne tillade modstandere at komme til Wi-Fi-adgangskoder og få adgang til målnetværket.
"Desværre, sagde de to forskere, vi fandt ud af, at selv med WPA3, en angriber inden for rækkevidde af et offer kan stadig gendanne adgangskoden til netværket. Dette gør det muligt for modstanderen at stjæle følsomme oplysninger såsom kreditkort, adgangskode, e -mails, og så videre, når offeret ikke bruger noget ekstra beskyttelseslag såsom HTTPS."
WPA3 kom på banen i 2018, udgivet af Wi-Fi Alliance, designet til at beskytte Wi-Fi-netværk mod ubudne gæster. Hvilke mænd det lækker? Mørk læsning henvist til "fejl i håndtrykprocessen", der kunne medføre "billige angreb på de adgangskoder, der bruges som en del af netværkslegitimationsoplysninger."
Lavprisangreb? Hvad betyder det? Dan Goodin ind Ars Technica skrev, at designfejlene i WPA3 rejste spørgsmål om trådløs sikkerhed "især blandt billige Internet-of-things-enheder."
Angrebet involverer en proces, der tillader en ældre WPA2-enhed at tilslutte sig et WPA3-aktiveret adgangspunkt; den resulterende operation åbner processen "til et brute-force ordbogsangreb på de adgangskoder, der bruges til godkendelse, " sagde Mørk Læsning .
Hvor stor en sag er det her, om effekt? Mørk læsning citerede Kevin Robinson, vicepræsident for marketing for Wi-Fi Alliance. Ikke alle personlige WPA3-enheder blev påvirket, og selv det "lille antal enheder", der var, kunne lappes gennem softwareopdateringer.
Denne login-proces har de sårbarheder, der kan gøre WPA3 mindre sikker. Specifikt, Mørk læsning rapporterede "sårbarhedsproblemer på sidekanaler til Simultaneous Authentication of Equals (SAE) håndtryk." Sidstnævnte blev yderligere beskrevet som "en vigtig del af WPA3s forbedring i forhold til WPA2."
Da SAE-håndtrykket er kendt som Dragonfly; forskerne kalder sættet af sårbarheder for Dragonblood.
Parret, der opdagede fejlen, var Mathy Vanhoef fra New York University Abu Dhabi og Eyal Ronen fra Tel Aviv University og KU Leuven.
(I et angreb med informationslæk på sidekanal, forklarede Catalin Cimpanu, ZDNet , "WiFi WPA3-kompatible netværk kan narre enheder til at bruge svagere algoritmer, der lækker små mængder information om netværksadgangskoden. Med gentagne angreb, den fulde adgangskode kan til sidst gendannes.")
Ikke at noget ved denne opdagelse var chokerende for Dan Goodin. "Den nuværende WPA2-version (i brug siden midten af 2000'erne) har lidt en lammende designfejl, som har været kendt i mere end et årti, " han skrev.
Han sagde, at fire-vejs håndtrykket var en kryptografisk proces, der blev brugt til at validere computere, telefoner, og tablets til et adgangspunkt og omvendt – og indeholder en hash af netværksadgangskoden. "Enhver inden for rækkevidde af en enhed, der forbinder til netværket, kan optage dette håndtryk. Korte adgangskoder eller dem, der ikke er tilfældige, er så trivielle at knække i løbet af få sekunder."
Heldigvis, de bloggede, Vi forventer, at vores arbejde og koordinering med Wi-Fi Alliance vil gøre det muligt for leverandører at afbøde vores angreb, før WPA3 bliver udbredt."
Den 10. april udgav Wi-Fi Alliance en erklæring om, hvad de beskrev som "et begrænset antal tidlige implementeringer af WPA3-Personal, hvor disse enheder tillader indsamling af sidekanaloplysninger på en enhed, der kører en angribers software, ikke implementerer visse kryptografiske operationer korrekt, eller brug uegnede kryptografiske elementer."
De sagde, at det lille antal berørte enhedsproducenter "allerede er begyndt at implementere patches for at løse problemerne. Disse problemer kan alle afhjælpes gennem softwareopdateringer uden nogen indflydelse på enhedernes evne til at fungere godt sammen. Der er ingen beviser for, at disse sårbarheder har været udnyttet."
Wi-Fi Alliance takkede de to forskere, Vanhoef og Ronen, for at opdage og "ansvarligt rapportere disse problemer, giver industrien mulighed for proaktivt at forberede opdateringer forud for udbredt brancheimplementering af WPA3-Personal."
De fortalte Wi-Fi-brugere, at de skulle sikre, at de har installeret de seneste anbefalede opdateringer fra enhedsproducenter.
© 2019 Science X Network
Varme artikler
-
Foxconn kan importere arbejdere til en amerikansk fabrik:rapportTerry Gou, formand for Foxconn Technology Group, taler ved en banebrydende ceremoni i juni for et nyt Foxconn -fabrikskompleks i Wisconsin Taiwan-baserede elektronikproducent Foxconn kæmper for at -
Brunel finjusterer næste generations digitale motorEncylindret intelligent ventilteknologi. Kredit:Brunel University London Brunel University London er det første britiske universitet, der begynder at forske i fremtidens bilmotorer ved hjælp af ny -
Efter flere års test, Seattle nanotech-virksomheden Modulental klar til et milliardmarkedKredit:CC0 Public Domain Efter næsten et årti med feltforsøg og demonstrationer, et Seattle-født nanomateriale, der er 30 gange mere korrosionsbestandigt end traditionelt galvaniseret stål, er kla -
Bosch ingeniører fokuserer på at lysne fremtiden for dieselKredit:Robert Bosch GmbH Robert Bosch GmbH sagde, at dets ingeniører har udviklet et nyt diesel-udstødningssystem, der reducerer emissioner betydeligt under lovlige grænser, der træder i kraft i 2
- Avl Zebraer
- Lyskontrollerede Higgs-tilstande findes i superledere; potentiale sensor, computerbrug
- Tyrkiets knogler kan hjælpe med at spore skæbnen for gamle klintboere
- Udmattelse af mineralressourcer er blot en myte:undersøgelse
- NASA rover har udforsket overfladesedimenter, ikke søaflejringer, de sidste otte år:studie
- Fransk jordskælvsfejl kortlagt