Bezpečnost | Wi-Fi | Komunikace

FragAttacks: Většina zařízení s Wi-Fi je zranitelná, expert objevil 12 bezpečnostních děr

  • Poslal do hrobu protokol WPA2 a teď objevil další díry ve Wi-Fi
  • FragAttacks je soubor 12 zranitelností postihující Wi-Fi všech značek
  • Podle všeho je zatím nikdo nezneužívá

Rovný tucet zranitelností, přičemž některé z nich souvisejí se samotným standardem Wi-Fi a některé s tím, jak jej implementují výrobci zařízení, umožňuje hackerům krást data nebo napadnout jiná zařízení připojená k síti. K takovým závěrům došel ve svém výzkumu původem belgický expert na bezpečnost Mathy Vanhoef.

V dnešní době většina z nás považuje Wi-Fi za samozřejmost, ale to neznamená, že je tento způsob připojení dokonalý, natož pak bezpečný. Dle Vanhoefa má standard Wi-Fi celou řadu zranitelností, přičemž některé se táhnou už od roku 1997. Soubor bezpečnostních chyb je označován jako „FragAttacks“ – název je složeninou slov „fragmentace“ a „agregace“.

Wi-Fi plná bezpečnostních děr

Uvedená zjištění v podstatě znamenají, že všechna zařízení, vyrobená v posledních 24 letech, mohou být nějakým způsobem zranitelná. Týká se to bezdrátových routerů, mobilních telefonů, tabletů, ale i zařízení chytré domácnosti a mnoha dalších produktů.

Jméno Mathy Vanhoef rozhodně není neznámé – tento odborník, působící v současnosti na New York University Abu Dhabi, již v roce 2017 objevil jinou slabinu Wi-Fi označovanou jako „Key Reinstallation AttaCK“ (KRACK). Ta případnému útočníkovi umožňovala převzít kontrolu nad sítí během několika sekund, pokud byl v jejím fyzickém dosahu.

Alespoň trochu pozitivní je, že tři z nalezených chyb v návrhu Wi-Fi je obtížné zneužít, protože vyžadují neobvyklá nastavení sítě. I samotné útoky by byly obtížněji realizovatelné, protože k úspěšnému dokončení často vyžadují interakci uživatele.

Další implementační chyby jsou však popisovány jako triviálně zneužitelné a postihují přístroje, jako jsou chytré domácí spotřebiče a další zařízení internetu věcí, z nichž mnohé nejsou příliš často, případně vůbec aktualizované.

Brána otevřená hackerům

Přes jednu z děr lze například přimět dané zařízení komunikovat přes podvržený DNS server. To útočníkovi otevírá možnost směrovat síťový provoz doslova kamkoli. Vanhoef tvrdí, že tímto útokem byly zranitelné dva ze čtyř domácích routerů, jež podrobil testování.

Další zranitelnosti vyplývají ze špatné implementace, která některým zařízením umožňuje přijímat „data ve formátu prostého textu, která vypadají jako zprávy handshake“, nebo přijímat nešifrované fragmenty. Týká se to mnoha zařízení, včetně některých populárních chytrých telefonů a celé řady zařízení IoT.

Zranitelnosti mohou být hackery zneužity k zachytávání citlivých údajů nebo přesměrování uživatelů na falešné webové stránky. Problémy se týkají Wi-Fi zabezpečených pomocí WPA2, ale též novějším WPA3. Vanhoef však našel chyby i v dnes již téměř nepoužívaném protokolu WEP.

Vanhoef otestoval celkem 75 zařízení s různými operačními systémy a zjistil, že všechna jsou zranitelná vůči jednomu nebo více útokům podrobně popsaným v jeho článku. Poznamenává také, že „objevení těchto zranitelností je překvapením, protože zabezpečení Wi-Fi se v posledních letech skutečně výrazně zlepšilo“.

Před devíti měsíci se expert o svá zjištění podělil s organizací Wi-Fi Alliance, aby chyby mohly být opraveny dříve, než je zveřejní. Obchodní sdružení pak úzce spolupracovalo s výrobci zařízení na koordinaci oprav. Přidělal tak mnoha výrobcům nemalé vrásky na čele.

Záplaty jsou na cestě

Uvedené problémy se týkají i počítačů a notebooků s bezdrátovou konektivitou. V tomto segmentu je dobrou zprávou, že záplaty linuxového jádra jsou již na cestě a květnové aktualizace Windows by měly opravovat tři ze dvanácti zranitelností.

Dle dostupných informací již vydali záplaty pro některé své produkty následující firmy: Aruba, Cisco, Eero, Intel, Juniper, Lancom, Lenovo, Microsoft, Mist, Netgear, Ruckus, Samsung, Synology a Zyxel

V tuto chvíli naštěstí neexistují žádné důkazy o tom, že by některá z těchto zranitelností byla aktivně zneužívána. Přesto Vanhoef doporučuje, aby uživatelé navštěvovali pouze stránky, které používají protokol HTTPS, používali aktuální webový prohlížeč, silná a jedinečná hesla a nenavštěvovali pochybné weby.

Zásadní rady závěrem zní: udržujte svůj software aktualizovaný, používejte všude silná hesla a často zálohujte důležité soubory. Pokud máte router s Wi-Fi 6, je důležité zakázat dynamickou fragmentaci, i když to těmto útokům zcela nezabrání. V případě zájmu o další podrobnosti doporučujeme navštívit stránku FragAttacks.com, na které Mathy Vanhoef publikoval veškeré detaily.

Diskuze (8) Další článek: Odinstalovali jste nový MS Edge? Pak vám nepůjde nainstalovat květnová kumulativní aktualizace

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,