Du menar att min skyddsfilt inte är säker? En nästa generations standard "var tänkt att göra lösenordsknäckning till ett minne blott, " kluckade Ars Technica , efter att ha fått reda på att sårbarheter hittades i WPA3-protokollet som kan tillåta motståndare att komma till Wi-Fi-lösenord och komma åt målnätverket.

"Tyvärr, sa de två forskarna, vi upptäckte att även med WPA3, en angripare inom räckhåll för ett offer kan fortfarande återställa lösenordet för nätverket. Detta gör att motståndaren kan stjäla känslig information som kreditkort, Lösenord, mejl, och så vidare, när offret inte använder något extra skyddslager som HTTPS."

WPA3 kom på scenen 2018, släppt av Wi-Fi Alliance, designad för att skydda Wi-Fi-nätverk från inkräktare. Vilka män det läcker? Mörk läsning hänvisade till "brister i handskakningsprocessen" som kan leda till "lågkostnadsattacker på lösenorden som används som en del av nätverksuppgifter."

Lågkostnadsattacker? Vad betyder det? Dan Goodin in Ars Technica skrev att designbristerna i WPA3 väckte frågor om trådlös säkerhet "särskilt bland billiga Internet-of-things-enheter."

Attacken involverar en process som gör att en äldre WPA2-enhet kan anslutas till en WPA3-aktiverad åtkomstpunkt; den resulterande operationen öppnar processen "till en brute-force ordbok attack på lösenorden som används för autentisering, " sa Mörk Läsning .

Hur stor grej är det här, angående påverkan? Mörk läsning citerade Kevin Robinson, vice VD för marknadsföring för Wi-Fi Alliance. Inte alla personliga WPA3-enheter påverkades, och även det "lita antalet enheter" som fanns kunde korrigeras genom programuppdateringar.

Den inloggningsprocessen har de sårbarheter som kan göra WPA3 mindre säker. Specifikt, Mörk läsning rapporterade "sårbarhetsproblem på sidokanaler till SAE-handskakningen för simultan autentisering av lika." Det sistnämnda beskrevs vidare som "en viktig del av WPA3:s förbättring jämfört med WPA2."

Eftersom SAE-handslaget är känt som Dragonfly; forskarna kallar uppsättningen av sårbarheter för Dragonblood.

Paret som upptäckte felet var Mathy Vanhoef från New York University Abu Dhabi och Eyal Ronen från Tel Aviv University och KU Leuven.

(I en attack med informationsläckor på sidokanal, förklarade Catalin Cimpanu, ZDNet , "WiFi WPA3-kompatibla nätverk kan lura enheter att använda svagare algoritmer som läcker ut små mängder information om nätverkslösenordet. Med upprepade attacker, det fullständiga lösenordet kan så småningom återställas.")

Inte för att något med denna upptäckt var chockerande för Dan Goodin. "Den nuvarande WPA2-versionen (används sedan mitten av 2000-talet) har lidit av ett förödande designfel som har varit känt i mer än ett decennium, " han skrev.

Han sa att fyrvägshandslaget var en kryptografisk process som användes för att validera datorer, telefoner, och surfplattor till en åtkomstpunkt och vice versa – och innehåller en hash av nätverkslösenordet. "Vem som helst inom räckhåll för en enhet som ansluter till nätverket kan spela in denna handskakning. Korta lösenord eller de som inte är slumpmässiga är sedan triviala att knäcka på några sekunder."

Lyckligtvis, de bloggade, vi förväntar oss att vårt arbete och samordning med Wi-Fi Alliance kommer att göra det möjligt för leverantörer att mildra våra attacker innan WPA3 blir utbredd."

Den 10 april släppte Wi-Fi Alliance ett uttalande om vad de beskrev som "ett begränsat antal tidiga implementeringar av WPA3-Personal, där dessa enheter tillåter insamling av sidokanalinformation på en enhet som kör en angripares programvara, inte implementera vissa kryptografiska operationer korrekt, eller använd olämpliga kryptografiska element."

De sa att det lilla antalet enhetstillverkare som påverkas "har redan börjat distribuera patchar för att lösa problemen. Dessa problem kan alla mildras genom programuppdateringar utan att det påverkar enheternas förmåga att fungera bra tillsammans. Det finns inga bevis för att dessa sårbarheter har varit utnyttjas."

Wi-Fi Alliance tackade de två forskarna, Vanhoef och Ronen, för att ha upptäckt och "ansvarsfullt rapporterat dessa problem, vilket gör det möjligt för industrin att proaktivt förbereda uppdateringar inför en omfattande industridistribution av WPA3-Personal."

De sa till Wi-Fi-användare att de borde se till att de har installerat de senaste rekommenderade uppdateringarna från enhetstillverkare.

© 2019 Science X Network