Tek.no

Nyhet

Fant alvorlig sikkerhetsbrist i ny krypteringsstandard for Wi-Fi

Kurt Lekanger, Tek.no
16 Apr 2019 16:11

Da forskere fant sikkerhetshull i WPA2-standarden for kryptering av trådløse nettverk i 2017, kastet Wi-Fi Alliance seg rundt og utviklet WPA3 som et svar.

Nå har forskere funnet brister i WPA3 som i praksis kan la en angriper finne frem til krypteringspassordet og dermed snoke på alt du foretar deg på det trådløse nettet.

Sårbarheten har fått navnet Dragonblood etter «handshake»-protokollen WPA3-standarden bruker for å autentisere en bruker, som kalles Dragonfly.

Utnytter overgangsmodus

Svakhetene kan grovt sett deles i to: Den første er en type angrep som utnytter det faktum at WPA3 har en «overgangsmodus» for å være kompatibel med enheter som bare har WPA2-støtte.

Denne gjør at en angriper kan sette opp et falskt nettverk som tvinger enheter til å bruke WPA2, og på den måten kan utnytte den gamle sårbarheten til å komme frem til nettverkspassordet.

En annen metode er å se på svartidene fra aksesspunktet på ulike passordforslag og bruke det til å skaffe seg informasjon om passordet, noe som igjen kan brukes til et såkalt «brute force»-angrep hvor et stort antall mulige passord forsøkes, helt til man finner det riktige.

Dette er bare mulig på aksesspunkter som bruker såkalte MODP-grupper, ikke aksesspunkter som bruker sikkerhetsgrupper basert på elliptiske kurver.

I tillegg kom forskerne frem til at det er mulig å utføre tjenestenektangrep på WPA3-standarden, som i praksis gjør at nettet blir svært treigt eller ubrukelig.

Hullet er allerede tettet

Forskerne samarbeidet med Wi-Fi Alliance før de offentliggjorde sine funn. De har nå gjort alle verktøyene de har brukt tilgjengelig for nedlasting, slik at andre kan gjenskape resultatene deres.

WI-Fi Alliance skriver i en pressemelding at de få produsentene som foreløpig har tatt i bruk WPA3-standarden allerede har begynt å rulle ut programvareoppdateringer som lukker sikkerhetshullene.

De skriver også at sertifiseringen for WPA3-Personal-kryptering nå inkluderer testing for sikkerhetshullene som forskerne peker på, og at det ikke finnes noen holdepunkter for at sårbarhetene har blitt utnyttet.

Les også
Ny Windows er ett steg nærmere en passordløs hverdag
annonse

Les også