WPA2 WiFi протокол уязвимост KRACK засяга 41% от устройствата с Android

Уязвимостта на WiFi протокола KRACK беше разкрита и изглежда страшно. 41% от телефоните с Android са засегнати от най-простото му внедряване.

Сигурността е основна тема за разговор през последните години, която може да се приложи към много форми на технологии. Може да се отнася за неща като грешка в Heartbeat SSL, хакване на игрова конзола или безопасността на вашите данни. На нашите устройства сигурността може да се отнася до лесното получаване на root достъп или потенциала за вируси, но разбира се, сигурността може да се отнася до широк кръг от теми. WPA2 се счита за най-сигурната потребителска WiFi защита и най-широко използваната мрежова защита протоколът е повреден от KRACK поради сериозен недостатък в самата WiFi стандартна технология върши работа.

WPA2 е стандартният протокол за мрежова сигурност, използван до голяма степен като заместител на WEP. Той се смяташе за безопасен и до голяма степен неразбиваем, динамично генериращ нови ключове за криптиране на пакети. Използва се Advanced Encryption Standard (AES) за повече бариери за безопасност, които трябва да считат протокола безопасно, когато вземете обичайните предпазни мерки за разполагане на по-дълга парола, деактивиране на WPS и всичко останало че. Технически проблемът изобщо не е WPA2.

Въпреки това, доказателство за концепцията, показано в изследователска статия от Mathy Vanhoef, показва как WPA2 не е толкова безопасен, колкото може да изглежда. Доказателство за концептуален експлойт, наречен Key Reinstallations Attacks (KRACK), ще бъде представено на 1 ноември на конференцията на ACM за компютърна и комуникационна сигурност в Далас. Описаната атака работи на всички съвременни WiFi мрежи и ако устройството ви поддържа WiFi, вероятно вече сте засегнати. По време на тяхното изследване беше установено, че Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и други устройства са податливи на уязвимостта под някаква форма или форма.

което е по-лошо, цифрата от 41% е само за най-опустошителната форма на тази атака. Атаката може да бъде манипулирана за широк набор от устройства, но най-лошото е за устройства с Android 6.0 или по-нова версия, тъй като те имат версия 2.4 или по-нова wpa_supplicant. Как работи е просто, не се колебайте да гледате видеоклипа по-долу или да прочетете за обяснение.

https://www.youtube.com/watch? v=Oh4WURZoR98

Как работи KRACK

KRACK работи първо, като създава втора WiFi мрежа, копирайки всички атрибути на оригинала, с изключение на работата по различен канал. След това се опитва да се свърже с устройството, към което е насочено, принуждавайки го да се свърже с новата мрежа на отделен канал, използвайки това, което се нарича „CSA Beacon“ или Съобщение за превключване на канали. Това казва на устройството, че каналът, към който трябва да се свърже, е променен, така че сега устройството ще се свърже към „измамната“ мрежа. Мрежата, към която устройството е принудено да се свърже (мрежата измамник), ще препрати интернет през нея към друга връзка. Това позволява на атакуващия по-късно да открадне декриптираните данни.

След това се изпълнява програмата "sslstrip", която манипулира целия трафик извън порт 80 (HTTP заявки), за да се премести към порт 10000 (използван от програмата, модифицираща данните). Всякакви HTTPS заявки (обикновено на порт 443, така че се пренасочват към порт 10000, когато sslstrip работи), заявката за защитени данни ще бъде премахната и след това изпратена както обикновено. Това означава, че дори ако посетите HTTPS връзка, sslstrip ще премахне всички данни за криптиране в заявката и вие ще посетите HTTP версия на уебсайта. Неправилно конфигурираните уебсайтове ще позволят това да се случи, а правилно конфигурираният уебсайт ще откаже заявката и няма да работи без HTTPS.

След това WireShark е настроен да наблюдава целия трафик, преминаващ през мрежовата карта на компютъра. Тъй като данните се препращат през компютъра, всички заявки от свързващото устройство също ще се виждат. HTTPS заявките не могат да се видят в WireShark, тъй като са криптирани, но HTTP лесно се чете от нападател. Демонстраторът показва как лесно се четат потребителското име и паролата, които той въвежда в уебсайта, където ясно се виждат „потребителско име“ и „парола“. Това е така, защото уебсайтът, който демонстраторът използва (match.com в този случай), не принуждава потребителя да използва HTTPS.

Това работи, защото нападателят може просто да поиска третото ръкостискане от четири в генерирането на ключ. Свързването към WiFi мрежа изисква четири ръкостискания между устройството и мрежата. Ръкостискането е просто устройствата, които се свързват и изпращат, изискващи данни между двете. Просто чрез повторно изпращане на третото ръкостискане отново и отново, генерирането на ключ за криптиране може да бъде манипулирано. В крайна сметка може да се генерира ключ с всички 0, което може да позволи на атакуващия да дешифрира данните и да ги прегледа.

Това е перфектна експлоатация на WiFi протокола и може да се приложи към много устройства. Има много варианти на тази атака, но най-простият и най-ефективен е този, описан по-горе, който засяга всяко устройство с Android над Android 6.0. Надяваме се сигурност актуализацията излиза скоро, за да коригира уязвимостта, но засега най-доброто, което можете да направите, е да внимавате с мрежите, към които се свързвате, и да използвате VPN, ако изобщо можете пъти.


КРАК

Чрез: ArsTechnica