Videnskab
 science >> Videnskab >  >> Elektronik

To sikkerhedsforskere finder WPA3-sårbarheder

Kredit:CC0 Public Domain

Du mener, at mit sikkerhedstæppe ikke er sikkert? En næste generations standard "skulle gøre adgangskodeknæk til en saga blot, " klakkede Ars Technica , efter at have fundet ud af, at der blev fundet sårbarheder i WPA3-protokollen, som kunne tillade modstandere at komme til Wi-Fi-adgangskoder og få adgang til målnetværket.

"Desværre, sagde de to forskere, vi fandt ud af, at selv med WPA3, en angriber inden for rækkevidde af et offer kan stadig gendanne adgangskoden til netværket. Dette gør det muligt for modstanderen at stjæle følsomme oplysninger såsom kreditkort, adgangskode, e -mails, og så videre, når offeret ikke bruger noget ekstra beskyttelseslag såsom HTTPS."

WPA3 kom på banen i 2018, udgivet af Wi-Fi Alliance, designet til at beskytte Wi-Fi-netværk mod ubudne gæster. Hvilke mænd det lækker? Mørk læsning henvist til "fejl i håndtrykprocessen", der kunne medføre "billige angreb på de adgangskoder, der bruges som en del af netværkslegitimationsoplysninger."

Lavprisangreb? Hvad betyder det? Dan Goodin ind Ars Technica skrev, at designfejlene i WPA3 rejste spørgsmål om trådløs sikkerhed "især blandt billige Internet-of-things-enheder."

Angrebet involverer en proces, der tillader en ældre WPA2-enhed at tilslutte sig et WPA3-aktiveret adgangspunkt; den resulterende operation åbner processen "til et brute-force ordbogsangreb på de adgangskoder, der bruges til godkendelse, " sagde Mørk Læsning .

Hvor stor en sag er det her, om effekt? Mørk læsning citerede Kevin Robinson, vicepræsident for marketing for Wi-Fi Alliance. Ikke alle personlige WPA3-enheder blev påvirket, og selv det "lille antal enheder", der var, kunne lappes gennem softwareopdateringer.

Denne login-proces har de sårbarheder, der kan gøre WPA3 mindre sikker. Specifikt, Mørk læsning rapporterede "sårbarhedsproblemer på sidekanaler til Simultaneous Authentication of Equals (SAE) håndtryk." Sidstnævnte blev yderligere beskrevet som "en vigtig del af WPA3s forbedring i forhold til WPA2."

Da SAE-håndtrykket er kendt som Dragonfly; forskerne kalder sættet af sårbarheder for Dragonblood.

Parret, der opdagede fejlen, var Mathy Vanhoef fra New York University Abu Dhabi og Eyal Ronen fra Tel Aviv University og KU Leuven.

(I et angreb med informationslæk på sidekanal, forklarede Catalin Cimpanu, ZDNet , "WiFi WPA3-kompatible netværk kan narre enheder til at bruge svagere algoritmer, der lækker små mængder information om netværksadgangskoden. Med gentagne angreb, den fulde adgangskode kan til sidst gendannes.")

Ikke at noget ved denne opdagelse var chokerende for Dan Goodin. "Den nuværende WPA2-version (i brug siden midten af ​​2000'erne) har lidt en lammende designfejl, som har været kendt i mere end et årti, " han skrev.

Han sagde, at fire-vejs håndtrykket var en kryptografisk proces, der blev brugt til at validere computere, telefoner, og tablets til et adgangspunkt og omvendt – og indeholder en hash af netværksadgangskoden. "Enhver inden for rækkevidde af en enhed, der forbinder til netværket, kan optage dette håndtryk. Korte adgangskoder eller dem, der ikke er tilfældige, er så trivielle at knække i løbet af få sekunder."

Heldigvis, de bloggede, Vi forventer, at vores arbejde og koordinering med Wi-Fi Alliance vil gøre det muligt for leverandører at afbøde vores angreb, før WPA3 bliver udbredt."

Den 10. april udgav Wi-Fi Alliance en erklæring om, hvad de beskrev som "et begrænset antal tidlige implementeringer af WPA3-Personal, hvor disse enheder tillader indsamling af sidekanaloplysninger på en enhed, der kører en angribers software, ikke implementerer visse kryptografiske operationer korrekt, eller brug uegnede kryptografiske elementer."

De sagde, at det lille antal berørte enhedsproducenter "allerede er begyndt at implementere patches for at løse problemerne. Disse problemer kan alle afhjælpes gennem softwareopdateringer uden nogen indflydelse på enhedernes evne til at fungere godt sammen. Der er ingen beviser for, at disse sårbarheder har været udnyttet."

Wi-Fi Alliance takkede de to forskere, Vanhoef og Ronen, for at opdage og "ansvarligt rapportere disse problemer, giver industrien mulighed for proaktivt at forberede opdateringer forud for udbredt brancheimplementering af WPA3-Personal."

De fortalte Wi-Fi-brugere, at de skulle sikre, at de har installeret de seneste anbefalede opdateringer fra enhedsproducenter.

© 2019 Science X Network




Varme artikler