Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → pixie dust

Миллионы Wi-Fi-устройств по-прежнему подвержены уязвимости Pixie Dust, обнаруженной более десяти лет назад

Компания NetRise, специализирующаяся на защите прошивок и программных компонентов устройств Интернета вещей, сообщила, что многие сетевые устройства по-прежнему уязвимы для метода атаки через Wi-Fi, раскрытого более десяти лет назад. Об этом пишет SecurityWeek.

 Источник изображения: SecurityWeek

Источник изображения: SecurityWeek

Атака, получившая название Pixie Dust, была обнаружена в 2014 году, когда было продемонстрировано, что уязвимость, связанная с протоколом Wi-Fi Protected Setup (WPS), может быть использована для получения PIN-кода WPS маршрутизатора и подключения к целевой беспроводной сети без ввода пароля.

Атака Pixie Dust предполагает, что злоумышленник, находящийся в зоне действия целевой сети Wi-Fi, перехватывает начальное WPS-рукопожатие, содержащее данные между клиентом и точкой доступа для аутентификации, которые затем можно взломать в офлайн-режиме для получения PIN-кода WPS. Атака полагается на тот факт, что на некоторых устройствах случайные числа (передающиеся между клиентом и точкой доступа) генерируются с использованием предсказуемых или низкоэнтропийных методов. Злоумышленнику требуется всего несколько секунд, чтобы перехватить WPS-рукопожатие, а затем в течение нескольких минут или даже секунд — получить PIN-код в офлайн-режиме.

Компания NetRise провела анализ 24 моделей сетевых устройств, использующихся в настоящее время, на предмет их уязвимости к атакам Pixie Dust. Устройства были приобретены у шести производителей, но половина из них была произведена компанией TP-Link. Анализ NetRise показал, что из 24 маршрутизаторов, точек доступа, усилителей сигнала и гибридных систем Powerline/Wi-Fi только четыре были защищены от атак Pixie Dust, но во многих случаях исправления появились спустя 9-10 лет. Среди неисправленных продуктов семь уже сняты с производства, но 13 всё ещё поддерживаются. В ходе тестов специалисты NetRise смогли восстановить PIN-код WPS затронутых уязвимостью устройств за 1-2 секунды. Если говорить в масштабе, то речь может идти о миллионах затронутых уязвимостью Pixie Dust устройств.

«Существование уязвимых реализаций WPS отражает системный недостаток в цепочках поставок прошивок. Поставщики повторно используют небезопасные библиотеки, не обеспечивают соблюдение безопасных настроек по умолчанию и обеспечивают низкую прозрачность. Это создаёт для производителей риски репутационного ущерба, потенциального вмешательства со стороны регулирующих органов и юридической ответственности. Устройства, подверженные уязвимости, могут казаться безопасными из-за настроек пользовательского интерфейса, которые внешне скрывают или отключают WPS, но остаются уязвимыми на уровне прошивки. Это создает скрытые пути для эксплойтов в средах с высоким уровнем доверия, таких как филиалы компаний, розничная торговля и здравоохранение. Предприятия не могут надежно обнаружить эту уязвимость самостоятельно, а потому остаются в зависимости от раскрытия информации поставщиками, которые часто этого не делают», — отметила NetRise.

Исследование NetRise было проведено после недавнего предупреждения Агентством по кибербезопасности и защите инфраструктуры США (CISA) о том, что старая уязвимость, связанная с отсутствием аутентификации, затрагивающая усилители сигнала Wi-Fi-диапазона TP-Link, эксплуатируется в реальных условиях.


window-new
Soft
Hard
Тренды 🔥
Microsoft начала больше использовать свои ИИ-модели в сервисах, чтобы меньше платить OpenAI и Anthropic 26 мин.
Meta представила Muse Image — свою первую серьёзную модель для генерации изображений, которая будет доступна Meta AI и соцсетях 32 мин.
Meta сократила простои ИИ-ускорителей, полностью перестроив своё глобальное хранилище данных 55 мин.
Китай собирается строить ИИ-занавес: власти рассматривают запрет зарубежного доступа к местным ИИ-моделям 6 ч.
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 14 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 16 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 16 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 17 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 18 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 18 ч.
У бюджетных смартфонов характеристики станут ещё хуже, а их выпуск сократится — снова из-за дорогой памяти 33 мин.
Китайская DeepSeek тайно разрабатывает собственный чип для инференса ИИ 2 ч.
SpaceX запустила первый в мире коммерческий спутник с ядерным источником энергии 3 ч.
Новая статья: Сравнительный тест камер флагманских смартфонов (2026) 11 ч.
Китайская DeepSeek скрытно занимается разработкой собственного ИИ-ускорителя для инференса 11 ч.
Анонсированы умные очки Solos AirGo A6 — без камеры, но с ИИ 13 ч.
Apple захватила 90 % рынка смарт-часов с ИИ, который за год вырос на 70 % 16 ч.
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А 16 ч.
Marshall представила беспроводные колонки Acton IV и Stanmore IV с улучшенными басами и повышенной ремонтопригодностью 16 ч.
Huawei впервые бросит вызов Nvidia за пределами Китая — ИИ-ускорители Ascend появятся в Южной Корее 16 ч.