Aki aktívan figyeli a tech híreket az már tudja: nagyon nagy baj van a jelenleg egyik legszéleskörűbben használt Wi-Fi szabvánnyal. A WPA2 protokollban ugyanis kritikus sebezhetőséget fedeztek fel, amit csak KRACK-nek, azaz Key Reinstallation Attacknek neveznek.
Ha jól értem, nagyon leegyszerűsítve arról van szó, hogy amikor az eszközöd csatlakozik wifin keresztül a hálózathoz, egy négyes kézfogással egyezteti le a routereddel, hogy mi is lesz a titkosítási kulcs. A kliensnek megküldött harmadik üzenet tartalmazza ezt a kulcsot, amit azonban ha a kliens nem nyugtáz, a hozzáférési pont újra megküld a készüléknek.
A router pedig szépen, minden alkalommal, amikor megkapja, újratelepíti kulcsot, amivel alaphelyzetbe áll a protokoll belső számlálója, az ún. nonce is. A titkosítás pont arra épít, hogy ez a számláló nem ismétlődhet, viszont mivel ebben az esetben visszaáll így onnantól sebezhetővé válik a korábban hasonló körülmények között kimúlt WEP és WPA szabványokat váltó WEP2 is.
Elviekben vezeték nélküli hálózatok 100 milliói, tán milliárdjai válnak így támadhatóvá és azok is maradnak egészen addig, ameddig a még támogatott routerekre meg nem érkezik a firmware-frissítés. Jó hír, hogy ahhoz, hogy a támadás sikeres legyen mind a hozzáférési pontnak, mind a kliensnek támadhatónak kell lennie.
Az AppleInsider bekopogtatott Cupertino-nál és finoman érdeklődött, hogy mi a helyzet. A válasz nagyrészt megnyugtató: a legújabb macOS, iOS, tvOS és watchOS bétákban a folt már be lett patchelve, tehát nem sokáig leszünk védtelenek erről az oldalrón.
Sajnos arról azonban semmit nem tudni egyelőre, hogy az AirPort Express-szel, az AirPort Extreme-mel vagy a Time Machine-nal mégis mi a helyzet - legutóbb 2016 decemberében, tehát majdnem egy éve kapott firmware-frissítést a család.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.