Критическая уязвимость в WPA2 позволяет отслеживать трафик Wi-Fi

Стало известно о критических уязвимостях в протоколе Wi-Fi Protected Access II (WPA2), с помощью которого осуществляется шифрование связи подавляющего большинства современных беспроводных сетей. Они позволяют злоумышленникам отслеживать трафик Wi-Fi между компьютерами, смартфонами и точками доступа.

Набор уязвимостей получил общее имя KRACK (сокращение от Key Reinstallation Attack). Она была выявлена в рамках закрытого исследования несколько недель назад, после чего скоординированно опубликована в 8 утра понедельника по времени восточного побережья США. Экспертная группа US-CERT Института программной инженерии Университета Карнеги — Меллона и исследователь К.У. Лейвен описывает исследование так:

«US-CERT узнал о нескольких ключевых управляющих уязвимостях в протоколе безопасности Wi-Fi Protected Access II (WPA2), работающем по принципу четырёхстороннего рукопожатия. С помощью использования этих уязвимостей можно добиться расшифровки, перехвата пакетов, взлома соединения TCP, встраивания HTTP-контента и так далее. Стоит отметить, что речь идёт о проблемах на уровне протокола, а потому они затронут подавляющее большинство правильных реализаций этого стандарта».

По словам исследователя, описывающего уязвимости, работают они с помощью «четырёхстороннего рукопожатия», во время которого устанавливается ключ для шифрования трафика. На этапе третьего шага ключ может быть повторно отправлен множество раз, и как раз во время таких отправок криптографическое слово может быть определённым способом применено для полного снятия шифрования. Страницу одного из исследователей проблемы можно обнаружить на Github.

Участник проекта сообщил журналистам ArsTechnica, что Aruba и Ubiquiti, продающие точки доступа крупным корпорациям и правительственным организациям, уже выпустили обновление для снятия уязвимостей, проходящих под кодовыми именами: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

В ближайшие недели и месяцы наверняка выйдут обновления и для множества других точек доступа и устройств, но многие из существующих останутся без заплаток. Пока же тем, кто беспокоится о безопасности своих данных, лучше избежать использования Wi-Fi или, по крайней мере, задействовать дополнительные протоколы шифрования данных вроде HTTPS, а также рассмотреть возможность использования VPN в качестве дополнительной меры защиты.