Langattomien verkkojen salausmenetelmä WPA2 on murrettu

Belgialainen turvallisuustutkija Mathy Vanhoef on onnistunut murtamaan nykyaikaisen langattomien Wi-Fi-verkkojen salausmenetelmässä käytettävää WPA2-protkollan.

KRACKattack eli “key reinstallation attack” on WLAN-protokollan toteutusten haavoittuvuutta hyödyntävä välimieshyökkäys. Hyökkäys kohdistuu pääasiassa WLAN-verkkoa käyttävään päätelaitteeseen tai tukiaseman asiakastoiminnallisuuteen (toistin tai 802.11r) ja sen hyödyntäminen vaatii väärennettyä MAC-osoitetta käyttävän valetukiaseman. Haavoittuvuus vaarantaa tiedon luottamuksellisuuden kaikissa WLAN-toteutuksissa.

Heikkoudet ovat itse Wi-Fi-standardissa eikä yksittäisissä tuotteissa tai toteutuksissa. Hyökkäyksen estämiseksi käyttäjien on päivitettävä laitteet heti kun tietoturvapäivityksiä on saatavilla. Hyökkääjät voivat käyttää hyväksi Vanhoefin tekniikkaa, jonka avulla hyökkääjä voi varastaa luottamuksellisia tietoja kuten luottokorttinumeroita, salasanoja, chat-viestejä, sähköposteja, valokuvia ja niin edelleen. Haavoittuvuus koskee niitä laitteita, jotka ovat yhdistetty langattomasti verkkoon, esim. kannettavat tietokoneet, älypuhelimet ja tablet-tietokoneita.

Jos laitteesi tukee Wi-Fi-verkkoa se todennäköisesti on altis hyökkäyksille. Tutkimuksen mukaan hyökkäksen kohteeksi joutuvat muun muassa Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys ja monet muut.  

Turvallisuustutkija Vanhoef huomauttaa, että hyökkäys ei koske pelkästään salasanojen vaihtamiseen vaan kaikki tiedot tai tiedostot voidaan purkaa. Lisäksi se myös purkaa lähetettyjä tietoja. Vaikka verkkosivusto käyttäisikin HTTPS:n menetelmää, voidaan suojaustaso kuitenkin ohittaa.

Tämän tyyppisen hyökkäyksen estämiseksi laite kannattaa päivittää heti. Langattoman verkon salasanojen vaihtaminen ei ole este hyökkäyksille tai lievennä sitä. WLAN-tukiaseman 802.11r-toiminnallisuus on hyvä kytkeä pois päältä. Haavoittuvuus ei koske puhelinliittymän mobiilidatan salausta.

Päivitys: Applelta kerrotaan, että tietoturva-aukko on korjattu seuraavien ohjelmistopäivitysten beetta-versioihin. Näitä julkaisuja odotetaan vielä lokakuun aikana.

Langattomien verkkojen salaus murrettu

Kommentoi artikkelia

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *