Dragonblood – ďalšie dve nové zraniteľnosti vo Wi-Fi WPA3 štandarde

WPA3

Zdroj: ZDNet

V apríli sme vás informovali o piatich zraniteľnostiach v novom WPA3 štandarde. Všetky dostali spoločné meno Dragonblood. Tí istí výskumníci (Mathy Vanhoef a Eyal Ronen) sa pozreli na štandard znova a našli 2 ďalšie chyby.

Prvá chyba má číslo CVE-2019-13377 a týka sa použitia Brainpool kriviek pri autentifikácii používateľa do WPA3 smerovača alebo prístupového bodu. Brainpool krivky boli odporúčané ako ochrana voči v apríli nájdeným chybám. Ich použitím však dochádza k úniku informácii (side-channel leaks), ktoré je možné zneužiť. Výskumníci boli schopní za použitia útoku hrubou silou zistiť heslo z uniknutých informácií.

Druhá chyba ma číslo CVE-2019-13456 a týka sa EAP-pwd implementácie FreeRADIUS. Aj tu dochádza k úniku informácií (side-channel leaks), ktoré vedú k zisteniu hesla. Úpravy po aprílovom odhalení chyby v EAP-pwd síce útok sťažili, ale nezastavili ho.

Výskumníci sa posťažovali, že Wi-Fi Aliancia vytvára bezpečnostné odporúčania a štandardy súkromne bez otvorenej konzultácie s komunitou výskumníkov a odborníkov. Štandard musí byť znova aktualizovaný a jeho nová verzia možno bude mať označenie WPA 3.1. Niektoré zmeny nebudu kompatibilné so súčasnými WPA3 implementáciami. Neustále zmeny nepomôžu kompatibilite, akceptácii a bezpečnosti WPA3.

Obrázok: „Airodump-ng interface“ by Christiaan Colen, used under CC BY-SA 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

Cena ITAPA 2022 opäť hľadá najlepšie projekty

Cena ITAPA 2022 opäť hľadá najlepšie projekty v oblasti inovácií, digitalizácie a modernizácie spoločnosti Bratislava 4. októbra 2022 – ITAPA už po 21-krát vyhlasuje prestížnu súťaž Cena…