WiFi-protokollsårbarheten KRACK har blitt avslørt, og det ser skummelt ut. 41 % av Android-telefoner påvirkes av den enkleste implementeringen av den.
Sikkerhet er et stort snakk om de siste årene, som kan brukes på mange former for teknologi. Det kan referere til ting som Heartbeat SSL-feilen, hacking av spillkonsoller eller sikkerheten til dataene dine. På enhetene våre kan sikkerhet referere til det enkle å få root-tilgang, eller potensialet for virus, men selvfølgelig kan sikkerhet referere til et bredt spekter av emner. WPA2 regnes som den sikreste WiFi-beskyttelsen for forbrukere, og den mest brukte nettverkssikkerheten protokollen har blitt brutt av KRACK på grunn av en alvorlig feil i hvordan WiFi-standardteknologien selv virker.
WPA2 er standard nettverkssikkerhetsprotokoll, som i stor grad brukes som erstatning for WEP. Det ble sett på som trygt og stort sett ucrackable, og genererer dynamisk nye nøkler for å kryptere pakker. Advanced Encryption Standard (AES) brukes, for flere sikkerhetsbarrierer som bør vurdere protokollen trygt når du tar de vanlige forholdsreglene for å ha et lengre passord, deaktivere WPS og alt at. Teknisk sett er ikke problemet WPA2 i det hele tatt.
Imidlertid viser et proof of concept vist i en forskningsartikkel av Mathy Vanhoef hvordan WPA2 ikke er så trygt som det kan virke. En proof of concept-utnyttelse kalt Key Reinstallations Attacks (KRACK) vil bli presentert 1. november på ACM Conference on Computer and Communications Security i Dallas. Det skisserte angrepet fungerer på alle moderne WiFi-nettverk, og hvis enheten din støtter WiFi, er du sannsynligvis allerede berørt. Under forskningen deres ble det funnet at Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys og andre enheter var alle utsatt for sårbarheten i en eller annen form.
Hva er verre, tallet på 41 % er bare for den mest ødeleggende formen for dette angrepet. Angrepet kan manipuleres for et bredt spekter av enheter, men det verste er for enheter på Android 6.0 eller høyere, siden de har en versjon 2.4 eller høyere wpa_supplicant. Hvordan det fungerer er enkelt, se gjerne videoen nedenfor eller les videre for en forklaring.
https://www.youtube.com/watch? v=Oh4WURZoR98
Hvordan KRACK fungerer
KRACK fungerer først ved å opprette et andre WiFi-nettverk, kopiere alle attributtene til originalen bortsett fra å jobbe på en annen kanal. Den prøver deretter å kontakte enheten den er rettet mot, og tvinger den til å koble til det nye nettverket på en egen kanal ved å bruke det som kalles en "CSA Beacon", eller Channel Switch Announcement. Dette forteller enheten at kanalen den må koble til har endret seg, så nå vil enheten koble seg til det "rogue" nettverket. Nettverket enheten blir tvunget til å koble til (det useriøse nettverket) vil videresende internett gjennom det til en annen tilkobling. Dette lar angriperen senere stjele de dekrypterte dataene.
Deretter kjøres programmet "sslstrip", som manipulerer all trafikk som ikke er på port 80 (HTTP-forespørsler) for å flytte til port 10000 (brukes av programmet som endrer dataene). Alle HTTPS-forespørsler (vanligvis på port 443, så de blir omdirigert til port 10000 når sslstrip kjører), vil få den sikre dataforespørselen strippet og deretter sendt gjennom som normalt. Dette betyr at selv om du besøker en HTTPS-lenke, vil sslstrip fjerne alle krypteringsdata i forespørselen, og du vil besøke en HTTP-versjon av nettstedet. Feilkonfigurerte nettsteder vil tillate dette å skje, og et riktig konfigurert nettsted vil avslå forespørselen og ikke fungere uten HTTPS.
Deretter er WireShark satt opp til å overvåke all trafikk som kjører gjennom nettverkskortet til datamaskinen. Etter hvert som data videresendes gjennom datamaskinen, vil også forespørsler fra enheten som kobler til bli sett. HTTPS-forespørsler kan ikke vises i WireShark da de er kryptert, men HTTP leses enkelt av en angriper. Demonstratoren viser hvordan brukernavnet og passordet som han legger inn på nettsiden lett kan leses, hvor «brukernavn» og «passord» er tydelig å se. Dette er fordi nettsiden demonstranten bruker (match.com i dette tilfellet) ikke tvinger brukeren til å bruke HTTPS.
Dette fungerer fordi angriperen ganske enkelt kan be om det tredje håndtrykket av fire i nøkkelgenerasjonen. Å koble til et WiFi-nettverk krever fire håndtrykk mellom enheten og nettverket. Et håndtrykk er ganske enkelt enhetene som kobler til og sender som krever data mellom begge. Bare ved å sende det tredje håndtrykket om og om igjen, kan krypteringsnøkkelgenereringen manipuleres. Til slutt kan en helt 0-nøkkel genereres, som kan tillate angriperen å dekryptere dataene og se dem.
Dette er en perfekt utnyttelse av WiFi-protokollen og kan brukes på mange enheter. Det er mange varianter av dette angrepet, men den enkleste og mest effektive er den som er beskrevet ovenfor, og påvirker enhver Android-enhet over Android 6.0. Forhåpentligvis en trygghet oppdatering kommer snart for å fikse sårbarheten, men foreløpig er det beste du kan gjøre å være forsiktig med nettverkene du kobler til og bruke en VPN hvis du i det hele tatt kan ganger.
KRACK
Via: ArsTechnica