Интернет
Дамир Камалетдинов

В популярном протоколе безопасности Wi-Fi обнаружили уязвимость. Она позволяет прослушивать данные и внедрять вирусы

Наибольшей опасности подвержены Android-смартфоны и устройства на Linux.

Группа исследователей по кибербезопасности обнаружила критическую уязвимость в протоколе WPA2 (Wi-Fi Protected Access II), который используется в большинстве устройств с Wi-Fi-модулями с 2006 года. Используя концептуальные недоработки протокола, исследователи показали, что злоумышленники могут не только перехватывать данные пользователей, но и внедрять вредоносный код на страницы сайтов, которые они посещают. Для демонстрации уязвимости исследователи создали эксплойт под названием KRACK (Key Reinstallation Attacks).

Суть атаки

Допустим, пользователь заходит в офис и подключается со смартфона к своей корпоративной сети Wi-Fi. Она требует пароль и шифрует передаваемые данные, что по идее должно обеспечивать безопасность.

Злоумышленики, используя обнаруженную уязвимость, могут обхитрить процесс проверки пароля и заставить систему (и пользователя) думать, что всё в порядке вещей. На самом деле управлять сетью будет не система, а злоумышленники — смотреть, на какие сайты ходит пользователь, какие сообщения отправляет и какие файлы загружает. Они даже могут установить на его смартфон вредоносный код и продолжать наблюдать за ним уже после того, как он отключится от взломанной сети.

Подробное техническое описание атаки

Программа позволяет «прослушивать» интернет-трафик между двумя соединёнными устройствами и внедрять в них вирусы. KRACK использует уязвимость в системе проверки паролей: данные в сети передаются в зашифрованном виде, но воздействуя на сеть извне, злоумышленники подрывают стойкость шифрования сети.

WPA2 — один из самых распространённых протоколов безопасности сетей Wi-Fi, используемый в большинстве современных устройств. В нём задействован алгоритм четырёхстороннего рукопожатия: во время соединения точка доступа и клиентское устройство обмениваются ключами для проверки на соответствие пароля сети. Атака KRACK сводится к подмене сессионных ключей (этот способ работает и на первой версии WPA) с помощью инициирования их перенастройки. В итоге стойкость шифрования в сети снижается до уровня, когда злоумышленники могут перехватывать данные, управлять соединениями и внедрять вредоносный код.

Наиболее серьёзно уязвимости подвержены устройства на Android и Linux. По данным исследователей, в Android 6.0 и выше существует «очень тривиальная возможность» перехватить трафик и управлять им из-за наличия уязвимости в компоненте wpa_supplicant. Она позволяет сбросить ключ безопасности до нулей и полностью контролировать трафик. Эксперты отметили, что эту уязвимость содержит около 41% смартфонов на Android и компьютеры на Linux.

Под угрозой также находятся и другие устройства, использующие WPA2. Используя более сложный метод, исследователям удалось перехватить трафик смартфонов на iOS и ноутбуков на MacOS.

Реакция US-CERT

Компьютерная команда экстренной готовности США (The United States Computer Emergency Readiness Team, US-CERT), занимающаяся информированием правительственных агентств и частных организаций о киберугрозах, подтвердила серьёзность уязвимостей.

US-CERT узнала о нескольких ключевых уязвимостях в алгоритме четырёхстороннего рукопожатия, который является частью протокола безопасности WPA2.

Воздействие этих уязвимостей включает в себя дешифровку, перехват пакетов, кражу TCP-соединения, внедрение HTTP-контента и не только. Проблема касается большинства или всех реализаций стандарта.

из заявления US-CERT

Как защититься от уязвимости

Как рассказал изданию ArsTechnica один из исследователей, производитель Wi-Fi-оборудования для корпораций и государственных агентств по всему миру компания Mikrotik уже закрыла уязвимость, а два других крупных вендора — Aruba и Ubiquiti, уже подготовили обновления с патчами.

В издании предупредили, что большинство точек доступа вряд ли быстро обновят, а некоторые и вовсе не смогут исправить. Тем не менее опасность сглаживает то, что для устранения уязвимости достаточно провести обновление на стороне клиентского устройства. Для большинства дистрибутивов Linux патчи ожидаются в ближайшее время.

Пользователям посоветовали избегать использования точек Wi-Fi (особенно публичных) до того, как массовые производители закроют уязвимость. Домашний роутер рекомендуется обновить при первой возможности. Если кроме сети с WPA2 никакой другой защиты нет, для безопасной передачи данных следует использовать защищённые протоколы вроде https.

* * *

В 2015 году один из авторов KRACK Мэти Ванхуф (Mathy Vanhoef) уже взламывал безопасность Wi-Fi. Для этого ему потребовался лишь купленный на Amazon донгл за 15 долларов и компьютер Rapsberry Pi.

Более подробно об уязвимостях исследователи расскажут во время доклада 1 ноября на конференции по кибербезопасности в Далласе

Обновлено в 17:27: в Microsoft заявили, что уже устранили уязвимость в Windows.

#разборы #взломы #интернет