¿Quiere decir que mi manta de seguridad no es segura? Se suponía que un estándar de próxima generación "haría que el descifrado de contraseñas fuera una cosa del pasado, "cloqueó Ars Technica , después de enterarse de que se encontraron vulnerabilidades en el protocolo WPA3 que podrían permitir a los adversarios obtener contraseñas de Wi-Fi y acceder a la red de destino.

"Desafortunadamente, "dijeron los dos investigadores, descubrimos que incluso con WPA3, un atacante dentro del alcance de una víctima aún puede recuperar la contraseña de la red. Esto permite al adversario robar información confidencial como tarjetas de crédito, contraseña, correos electrónicos, etcétera, cuando la víctima no utiliza una capa adicional de protección como HTTPS ".

WPA3 entró en escena en 2018, lanzado por Wi-Fi Alliance, diseñado para proteger las redes Wi-Fi de intrusos. ¿Qué machos gotea? Lectura oscura se refirió a "fallas en el proceso de negociación" que podrían traer "ataques de bajo costo a las contraseñas utilizadas como parte de las credenciales de la red".

¿Ataques de bajo costo? ¿Qué significa eso? Dan Goodin en Ars Technica escribió que las fallas de diseño en WPA3 plantearon preguntas sobre la seguridad inalámbrica "particularmente entre los dispositivos de Internet de las cosas de bajo costo".

El ataque involucra un proceso que permite que un dispositivo WPA2 heredado se conecte a un punto de acceso habilitado para WPA3; la operación resultante abre el proceso "a un ataque de diccionario de fuerza bruta sobre las contraseñas utilizadas para la autenticación, " dijo Oscuro Leer .

¿Qué tan importante es esto? con respecto al impacto? Lectura oscura citó Kevin Robinson, vicepresidente de marketing de Wi-Fi Alliance. No todos los dispositivos personales WPA3 se vieron afectados, e incluso el "pequeño número de dispositivos" que se podían parchear mediante actualizaciones de software.

Ese proceso de inicio de sesión tiene las vulnerabilidades que podrían hacer que WPA3 sea menos seguro. Específicamente, Lectura oscura informó "problemas de vulnerabilidad de canal lateral al protocolo de enlace de autenticación simultánea de iguales (SAE)". Este último se describió además como "una pieza clave de la mejora de WPA3 sobre WPA2".

Dado que el apretón de manos SAE se conoce como Dragonfly; los investigadores llaman al conjunto de vulnerabilidades Dragonblood.

La pareja que descubrió la falla fue Mathy Vanhoef de la Universidad de Nueva York en Abu Dhabi y Eyal Ronen de la Universidad de Tel Aviv y KU Leuven.

(En un ataque de fuga de información de canal lateral, explicó Catalin Cimpanu, ZDNet , "Las redes con capacidad WiFi WPA3 pueden engañar a los dispositivos para que utilicen algoritmos más débiles que filtran pequeñas cantidades de información sobre la contraseña de la red. Con ataques repetidos, la contraseña completa se puede recuperar eventualmente. ")

No es que nada de este descubrimiento haya sido impactante para Dan Goodin. "La versión actual de WPA2 (en uso desde mediados de la década de 2000) ha sufrido un defecto de diseño paralizante que se conoce desde hace más de una década, " el escribio.

Dijo que el apretón de manos de cuatro vías era un proceso criptográfico que se usaba para validar computadoras, Los telefonos, y tabletas a un punto de acceso y viceversa, y contiene un hash de la contraseña de la red. "Cualquiera que esté dentro del alcance de un dispositivo que se conecte a la red puede grabar este apretón de manos. Las contraseñas cortas o las que no son aleatorias son triviales de descifrar en cuestión de segundos".

Afortunadamente, ellos escribieron en su blog, Esperamos que nuestro trabajo y coordinación con Wi-Fi Alliance permitan a los proveedores mitigar nuestros ataques antes de que WPA3 se generalice ".

El 10 de abril, la Wi-Fi Alliance emitió una declaración sobre lo que describieron como "un número limitado de implementaciones tempranas de WPA3-Personal, donde esos dispositivos permiten la recopilación de información del canal lateral en un dispositivo que ejecuta el software de un atacante, no implementa correctamente ciertas operaciones criptográficas, o utilizar elementos criptográficos inadecuados ".

Dijeron que el pequeño número de fabricantes de dispositivos afectados "ya ha comenzado a implementar parches para resolver los problemas. Todos estos problemas se pueden mitigar mediante actualizaciones de software sin ningún impacto en la capacidad de los dispositivos para funcionar bien juntos. No hay evidencia de que estas vulnerabilidades hayan sido explotado."

La Wi-Fi Alliance agradeció a los dos investigadores, Vanhoef y Ronen, por descubrir y "informar de manera responsable estos problemas, permitiendo a la industria preparar actualizaciones de manera proactiva antes de la implementación generalizada de WPA3-Personal en la industria ".

Les dijeron a los usuarios de Wi-Fi que deberían asegurarse de haber instalado las últimas actualizaciones recomendadas por los fabricantes de dispositivos.

© 2019 Science X Network