WPA3 уязвимы для кражи паролей, утверждают исследователи

WPA3, выпущенный в 2018 году, должен был предотвращать кражи паролей.

Рукопожатие SAE WPA3 включает в себя несколько недостатков дизайна
WPA3 был представлен в начале 2018 года, через 14 лет после WPA2
Сообщается, что уязвимые устройства уже получают исправления

Исследователи утверждают, что Wi-Fi Protected Access 3 (WPA3), протокол беспроводной безопасности следующего поколения, подвержен влиянию нескольких конструктивных недостатков, которые делают его уязвимым для атак. Выпущенный в начале 2018 года, более чем через десять лет после WPA2, WPA3 рекламировался как упаковывающий несколько улучшений безопасности, но новые открытия показывают, что протокол безопасности вряд ли неуязвим для атак с разделением паролей. Wi-Fi Alliance, отраслевой орган, который контролирует протоколы беспроводной безопасности и программы сертификации безопасности, признал наличие этих уязвимостей и сообщает, что производители устройств уже выпустили исправления для этой проблемы.

Согласно исследовательской работе, опубликованной Мэти Ванхоф из Нью-Йоркского университета, Абу-Даби, и Эялом Роненом из Тель-Авивского университета, рукопожатие WPA3 «Одновременная аутентификация равных» (SAE), обычно известное как «Стрекоза», уязвимо для атак с разделением паролей, которые могут использоваться для восстановления пароля к сети Wi-Fi. Рукопожатие SAE было введено в WPA3 для домашних сетей, чтобы предотвратить атаки по словарю, но было обнаружено, что в методе кодирования паролей есть уязвимости, связанные как с синхронизацией, так и с кешированием в боковом канале.

Эти уязвимости, называемые Dragonblood, позволили исследователям успешно угадать пароли беспроводных сетей, защищенных безопасностью WPA3. Исследователи обвиняют отсутствие прозрачности в создании стандарта WPA3 для этих уязвимостей. Напомним, что Vanhoef также был приписан обнаруженный недостаток безопасности KRACK. Было установлено, что безопасность WPA2 уязвима для атак KRACK в октябре 2017 года. Крупные производители операционных систем, такие как Microsoft, Apple и Google, вскоре разработали исправления для своих систем. Примечательно, что ошибка KRACK была одной из причин, по которой был разработан WPA3.

«В свете наших представленных атак мы считаем, что WPA3 не соответствует стандартам современного протокола безопасности. Более того, мы считаем, что наших атак можно было бы избежать, если бы Wi-Fi Alliance создал сертификацию WPA3 более открытым способом ». заявили Мати Ванхоф из Нью-Йоркского университета, Абу-Даби, и Эяль Ронен из Тель-Авивского университета и К. У. Левена. исследовательская работа.

После публикации исследовательской работы Альянс Wi-Fi вышел и принял результаты. Он также отметил, что производители устройств уже выпустили патчи для того же.

«Недавно опубликованные исследования выявили уязвимости в ограниченном числе ранних реализаций WPA3-Personal, где эти устройства позволяют собирать информацию о побочных каналах на устройстве, на котором выполняется программное обеспечение злоумышленника, неправильно выполняют определенные криптографические операции или используют неподходящие криптографические элементы», Wi-Fi Alliance говорится в сообщении. «WPA3-Personal находится на ранних стадиях развертывания, и небольшое число затронутых производителей устройств уже начали развертывание исправлений для решения проблем. Все эти проблемы можно устранить с помощью обновлений программного обеспечения без какого-либо влияния на способность устройств хорошо работать вместе. Нет никаких доказательств того, что эти уязвимости были использованы ».

Для получения последних технических новостей и обзоров следите за Gadgets 360 в Twitter, Facebook и подпишитесь на наш канал YouTube.