У WPA3 знайдені нові уразливості Dragonblood, що розкривають пароль Wi-Fi

09:33
У WPA3 знайдені нові уразливості Dragonblood, що розкривають пароль Wi-Fi
     Дослідники в області безпеки Мати Ванхоф і Еяль Ронен повідомили про дві нові вразливості класу Dragonblood, які були знайдені в стандарті Wi-Fi WPA3. 
    Нагадаємо, що спочатку вид вразливостей Dragonblood був відкритий в квітні. Згідно зі звітом фахівців, нові проблеми безпеки схожі на квітневі тим, що допускають витік інформації з криптографічних операцій WPA3. Завдяки цьому можна успішно провести брутфорс пароля мережі Wi-Fi. 
     Перший баг відстежується під ідентифікатором CVE-2019-13377 і зачіпає хендшейк WPA3 Dragonfly. Dragonfly являє собою механізм обміну ключами в процесі аутентифікації користувачів в системі WPA3-роутера. У квітні Ванхоф і Ронен виявили, що Dragonfly, що покладається на еліптичні криві P-521, можна знизити до менш захищених — P-256. У відповідь на це Wi-Fi Alliance рекомендував вендорам використовувати більш захищені криві Brainpool як частину алгоритмів Dragonfly. 
    «Однак ми виявили, що криві Brainpool призводять до іншого класу витоків по сторонніх каналах. В ході тестів наша теорія підтвердилася — атака пройшла успішно проти останньої версії Hostapd. В результаті нам вдалося сбрутфорсіть пароль, використовуючи виток інформації », — пояснюють експерти. Другий пролом — CVE-2019-13456 — зачіпає імплементацію EAP-pwd у фреймворку FreeRADIUS.    Така зв'язка використовується багатьма вендорами для підтримки зв'язку Wi-Fi. EAP-pwd (Extensible Authentication Protocol, Розширюваний Протокол Аутентифікації) — система аутентифікації, яка використовується в минулих стандартах WPA і WPA2. У WPA3 вона також задіяна з міркувань підтримки застарілої технології. Як і перша вразливість, CVE-2019-13456 призводить до витоку інформації, який розкриє атакуючому пароль мережі. Експерти заявили, що вже повідомили Wi-Fi Alliance про проблеми безпеки, що може призвести до випуску версії WPA3.1.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.