Dragonblood уязвимостта при WPA3 позволява кражба на Wi-Fi пароли

0
906
Dragonblood уязвимостта при WPA3 позволява кражба на Wi-Fi пароли

През 2017-а година така наречената уязвимост KRACK, която позволява достъпа до некриптирания трафик между аксес поинта и устройството, застраши домовете и офисите, които използват WPA2 Wi-Fi стандарта. В резултат на това няколко месеца по-късно излезе протоколът WPA3, който трябваше да реши този проблем и да предостави по-висока сигурност.

Ново откритие обаче показва, че WPA3 не е напълно сигурен поради уязвимости в неговия принцип на работа. Специалистите по сигурността Mathy Vanhoef и Eyal Ronen разкриват в специален документ, наречен „Dragonblood“, че новооткритите уязвимости при WPA3 позволяват кракване на паролите и получаване на достъп до некриптиран трафик, който се осъществява между устройствата.

Те разкриват, че процесът по удостоверяване при WPA3, наречен Simultaneous Authentication of Equals (SAE), познат още като „Dragonfly“, е засегнат от атаки, наричани „password partitioning attacks“. Това са атаки, които са подобни на атаките, при които се използва brute-forcing с речници, но тук се разчита и на странични изтичания от кеша от каналите.

Специалистите обясняват, че уязвимостите позволяват на кибер престъпника да се представи за всеки един потребител и по този начин да получи достъп до Wi-Fi мрежата без да знае паролата. Тревожен е фактът, че за разбиването на парола от 8 символа, с използването на облачни услуги за изчисляването, цената е относителна ниска – едва $125.

Поради всички горепосочени причини специалистите излизат със становище, че WPA3 не е достатъчно сигурен протокол и има нужда от допълнително подобряване. Въпреки това те признават, че все пак той се явява като подобрение на вече остарелия WPA2.

Mathy Vanhoef и Eyal Ronen са уведомили Wi-Fi Alliance за уязвимостите и добрите новини са, че вече има създадени кръпки. За да ги получите обаче единственият начин е да актуализирате фърмуера на вашето устройство.

Прочетете още:  Старата версия на Skype за Linux ще продължи да работи
0/5 (0 Reviews)