Новости Software

Критическая уязвимость в WPA2 позволяет отслеживать трафик Wi-Fi

Стало известно о критических уязвимостях в протоколе Wi-Fi Protected Access II (WPA2), с помощью которого осуществляется шифрование связи подавляющего большинства современных беспроводных сетей. Они позволяют злоумышленникам отслеживать трафик Wi-Fi между компьютерами, смартфонами и точками доступа.

Набор уязвимостей получил общее имя KRACK (сокращение от Key Reinstallation Attack). Она была выявлена в рамках закрытого исследования несколько недель назад, после чего скоординированно опубликована в 8 утра понедельника по времени восточного побережья США. Экспертная группа US-CERT Института программной инженерии Университета Карнеги — Меллона и исследователь К.У. Лейвен описывает исследование так:

«US-CERT узнал о нескольких ключевых управляющих уязвимостях в протоколе безопасности Wi-Fi Protected Access II (WPA2), работающем по принципу четырёхстороннего рукопожатия. С помощью использования этих уязвимостей можно добиться расшифровки, перехвата пакетов, взлома соединения TCP, встраивания HTTP-контента и так далее. Стоит отметить, что речь идёт о проблемах на уровне протокола, а потому они затронут подавляющее большинство правильных реализаций этого стандарта».

По словам исследователя, описывающего уязвимости, работают они с помощью «четырёхстороннего рукопожатия», во время которого устанавливается ключ для шифрования трафика. На этапе третьего шага ключ может быть повторно отправлен множество раз, и как раз во время таких отправок криптографическое слово может быть определённым способом применено для полного снятия шифрования. Страницу одного из исследователей проблемы можно обнаружить на Github.

Участник проекта сообщил журналистам ArsTechnica, что Aruba и Ubiquiti, продающие точки доступа крупным корпорациям и правительственным организациям, уже выпустили обновление для снятия уязвимостей, проходящих под кодовыми именами: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

В ближайшие недели и месяцы наверняка выйдут обновления и для множества других точек доступа и устройств, но многие из существующих останутся без заплаток. Пока же тем, кто беспокоится о безопасности своих данных, лучше избежать использования Wi-Fi или, по крайней мере, задействовать дополнительные протоколы шифрования данных вроде HTTPS, а также рассмотреть возможность использования VPN в качестве дополнительной меры защиты.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Из Overwatch 2 удалили отсылку к бывшему режиссёру игры Джеффу Каплану 32 мин.
Guerrilla Games рассказала о создании образа Элой для Horizon Forbidden West 51 мин.
Пошаговая тактика с элементами карточной игры Rise of Humanity пополнит ранний доступ Steam во второй половине октября 3 ч.
Британские чарты: детективный экшен Lost Judgment не смог на старте пробиться в топ-3 3 ч.
Ролевой экшен Code Vein достиг новой вершины продаж — 2 млн копий 3 ч.
Видео: перестрелки в космосе под драматичную музыку в новом трейлере сетевого шутера Boundary 3 ч.
Киностудии подали иск на $10 миллионов на VPN-провайдера, не ведущего логи 3 ч.
Слухи: бета-тестирование Battlefield 2042 начнётся 6 октября, а анонс запланировали на завтра 3 ч.
Опрос: пользуетесь ли вы магазином приложений HUAWEI AppGallery? 3 ч.
Facebook выделила $50 млн, чтобы сделать свою «метавселенную» доброжелательной и безопасной для пользователей 12 ч.
В России придумали модульные спутники с беспроводной зарядкой, которые смогут собираться прямо на орбите 47 мин.
В России разработали разведывательный беспилотник «Мерлин-ВР» — до 10 часов полёта на высоте до 5 км 55 мин.
В ближайшие 100 лет к Земле приблизится до миллиона опасных астероидов, спрогнозировали китайцы 57 мин.
MSI представила СЖО «всё в одном» MEG CoreLiquid S со встроенным 2,4-дюймовым дисплеем 2 ч.
Китай готовится к запуску своего первого спутника для изучения Солнца 2 ч.
Tesla выпустит одежду и обувь под маркой Cyberquad — пока под ней представлен только электрический квадроцикл 3 ч.
Creative представила аудиосистему Stage 360 с поддержкой Dolby Atmos 3 ч.
Поставщики Apple остановили производство в Китае из-за энергетического кризиса 3 ч.
Mibro Lite Smartwatch — одни из самых доступных смарт-часов сейчас можно купить на 50 % дешевле 3 ч.
Представлены полностью беспроводные наушники Honor Choice x Moecen Earbuds X2 4 ч.