Forskere har funnet et hull som lot angripere bryte seg inn i den nye krypteringsstandarden WPA3. (Illustrasjonsbilde)
Forskere har funnet et hull som lot angripere bryte seg inn i den nye krypteringsstandarden WPA3. (Illustrasjonsbilde) (Bilde: Kurt Lekanger, Tek.no)

Fant alvorlig sikkerhetsbrist i ny krypteringsstandard for Wi-Fi

Annonsør­innhold
Les hele saken »

Da forskere fant sikkerhetshull i WPA2-standarden for kryptering av trådløse nettverk i 2017, kastet Wi-Fi Alliance seg rundt og utviklet WPA3 som et svar. 

Nå har forskere funnet brister i WPA3 som i praksis kan la en angriper finne frem til krypteringspassordet og dermed snoke på alt du foretar deg på det trådløse nettet.

Sårbarheten har fått navnet Dragonblood etter «handshake»-protokollen WPA3-standarden bruker for å autentisere en bruker, som kalles Dragonfly.  

Utnytter overgangsmodus

Svakhetene kan grovt sett deles i to: Den første er en type angrep som utnytter det faktum at WPA3 har en «overgangsmodus» for å være kompatibel med enheter som bare har WPA2-støtte.

Denne gjør at en angriper kan sette opp et falskt nettverk som tvinger enheter til å bruke WPA2, og på den måten kan utnytte den gamle sårbarheten til å komme frem til nettverkspassordet. 

En annen metode er å se på svartidene fra aksesspunktet på ulike passordforslag og bruke det til å skaffe seg informasjon om passordet, noe som igjen kan brukes til et såkalt «brute force»-angrep hvor et stort antall mulige passord forsøkes, helt til man finner det riktige.

Dette er bare mulig på aksesspunkter som bruker såkalte MODP-grupper, ikke aksesspunkter som bruker sikkerhetsgrupper basert på elliptiske kurver. 

I tillegg kom forskerne frem til at det er mulig å utføre tjenestenektangrep på WPA3-standarden, som i praksis gjør at nettet blir svært treigt eller ubrukelig.

Hullet er allerede tettet

Forskerne samarbeidet med Wi-Fi Alliance før de offentliggjorde sine funn. De har nå gjort alle verktøyene de har brukt tilgjengelig for nedlasting, slik at andre kan gjenskape resultatene deres. 

WI-Fi Alliance skriver i en pressemelding at de få produsentene som foreløpig har tatt i bruk WPA3-standarden allerede har begynt å rulle ut programvareoppdateringer som lukker sikkerhetshullene. 

De skriver også at sertifiseringen for WPA3-Personal-kryptering nå inkluderer testing for sikkerhetshullene som forskerne peker på, og at det ikke finnes noen holdepunkter for at sårbarhetene har blitt utnyttet. 

Norges beste mobilabonnement

Desember 2018

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1 GB


Jeg bruker middels mye data:

Komplett MedioFlex+ 6GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen