Reportage

Det ved vi om WPA2-sårbarheden: Android og Linux er mest udsatte

16. oktober 2017 kl. 14:3818
Det ved vi om WPA2-sårbarheden: Android og Linux er mest udsatte
Illustration: Mathy Vangoef.
Android- og Linuxenheder ser ud til at være særligt udsatte over for KRACK, der benytter en sårbarhed ved wifi-forbindelser.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Via en SSL-strip kan en angriber sende en Android- eller Linuxbruger uden om ægte netværk - gennem sit eget (der foregiver at være det ægte) ind på hjemmesider - også https-sider, der godt nok vil fremstå uden https-låsen, men det vil mange brugere kunne overse, forklarer Mathy Vanhoef i sin video.

Mathy Vanhoef er en anerkendt it-sikkerhedsforsker, der sammen med sin vejleder Frank Piessenes tidligere har fundet flere andre svagheder i bl.a. WPA-TKIP.

I eksemplet viser han, hvordan en bruger kan forsøge at logge ind på siden match.com, hvor han får mulighed for at se både brugernavn og adgangskoden i klartekst.

Det virker til, at Android og Linux begge kan blive snydt til at installere en krypteringsnøgle bestående udelukkende af 0'er - i stedet for at reinstallere den rigtige nøgle.
Se Mathy Vanhoefs video om KRACK

Artiklen fortsætter efter annoncen

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.

Hurtige facts

Det er umiddelbart ikke nogen grund til at gå i panik endnu. Det bør være muligt at patche WPA2, så sårbarheden bliver fjernet.

Det gør ingenting at ændre passwordet på dit trådløse netværk. Hvis først personen er inde, så er han inde, men det er naturligvis altid smart at sørge for at opdatere enheder og firmware på router.

Alle enheder, der benytter wifi kan være udsatte - nogle dog mere end andre.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Routere har ikke nødvendigvis brug for en opdatering, da en stor del af sikkerhedshullet opstår på brugerens enhed.

Det tekniske

Den videnskabelige artikel, skrevet af Mathy Vanhoef beskriver i tekniske detaljer, hvordan man får adgang til andres nøgler vha. KRACK.

Den beskriver et 4-way handshake, der er en del af WPA2-protokollen, hvor det er muligt at manipulere og få gensendt information.

Ifølge Vanloefs hjemmeside KRACK attacks benytter alle moderne beskyttede trådløse netværk 4-way handshakes.

Han påpeger desuden, at man med KRACK ikke kan få adgang til kodeordet til det oprindelige wifi-netværk.

Problemet er meldt og i system

Mathy Vanloef meldte problemet 14. og 15. juli til producenter af det de testede produkter, og der er også oprettet online problembeskrivelser.

De involverede CVEs (Common Vulnerabilities and Exposures) er:

CVE-2017-13077
CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13082
CVE-2017-13084
CVE-2017-13086
CVE-2017-13087
CVE-2017-13088

Emner
18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
Allan Petersen
23. oktober 2017 kl. 09:13

Tilsyneladende kræver Windows også at drivers bliver opdateret for at være helt dækket ifb med dvale funktion.

  • more_vert
    • insert_linkKopier link
15
Morten Christensen
17. oktober 2017 kl. 22:54

Vi ville ikke acceptere at en bil var farlig efter 2 år!

Jeg synes også Androids opdateringsmodel er mislykket, men strengt taget er vores biler kun sikre at køre i efter 2 år, fordi vi betaler en mekaniker for at servicere bremserne. Burde der være lovkrav om, at vi betaler for service på vores dimser ...

  • more_vert
    • insert_linkKopier link
14
Peter Ahlgren
17. oktober 2017 kl. 21:57

Nu køre jeg permenent vpn via min pfsense boks.

Spørgsmålet er. Skal det være vpn fra min tlf til Accesspointet eller er det nok med vpn fra pfsense ud?

Da jeg med sikkerhed ved min tlf ikke bliver opdateret af asus. Med mindre jeg installerer en anden firmware. Og ved min accesspoint ikke vil modtage noget. Dog en god undskyldning for at købe en ny.

  • more_vert
    • insert_linkKopier link
13
Lars Tørnes Hansen
17. oktober 2017 kl. 17:11

Hvad Android tablets og mobiler angår ville jeg kigge på om der er en LineageOS, https://wiki.lineageos.org/ Android firmware for enheden.

Til min Samsung Galaxy S2 i9100, og min Motorola Moto G falcon (2013), findes der en LineageOS Android 7.0 firmware.

Udvikleren af firmwaren for Samsung Galaxy S2 i9100 har annonceret at der laves en Android 8.0 firmware til den.

Fremgangsmåde for installation af LineageOS er:

  1. Lav en backup af din mobil - nogle mobilers Android firmware har en indbygget backup og restore feature. Jeg brugte adt (Android Debug Tool), https://developer.android.com/studio/releases/platform-tools.html til at lave en backup.
  2. Unlock fabrikantens boot loader - alle data du ikke har lavet en backup af bliver nuked.
  3. Erstat fabrikantens bootloader med den TWRP bootloader der passer til din Android enhed.
  4. Installer LingeageOS firmwaren der passer til din enhed.
  5. Installer Open GApps, http://opengapps.org/ (Google Apps) via TWRP, hvis du ønsker at bruge en Google konto og Google Play.
  6. Root evt din mobil - det skulle være nemt med TWRP - såvidt jeg har forstået det.
  7. Har du gennemført punkt 6, så kan du installere apps der kræver root rettigheder.
  8. Boot ind i LineageOS

Lav Nandroid backups med TWRP for at gemmen en komplet kopi af alle data fra din android enhed - meget nyttig når man opgraderer LineageOs til en nyere version af samme firmware.http://trendblog.net/android-guide-make-nandroid-backup-android-phone/

  • more_vert
    • insert_linkKopier link
12
Mogens Lysemose
17. oktober 2017 kl. 14:43

Det skræmmende er så at videoen viser at der både brydes igennem WPA2 og gennem HTTPS sikkerheden!

  • more_vert
    • insert_linkKopier link
11
Mogens Lysemose
17. oktober 2017 kl. 14:41

Dejligt at der Patches op flere steder. Men det understreger endnu engang problemeter fragmenteringen og mængden af usupporterede enheder der stadig bruges. Jeg har flere Android tablets der ikke har fået opdateringer i flere år, fordi producenten ikke ser benefit ved det. Det samme gælder min router, mine forældres enheder, mind svigerforældres enheder. "De virker så hvorfor skal de kasseres ud?" Men vi akkumulerer en voksende sårbarhedsportefølje ved at bruge enheder som ikke Patches. Jeg er indigneret over den brug og smid væk mentalitet der ligger til grund for at alting kun skal være understøttet i 2 år - sådan som bla. Android er designet. Og ja jeg kunne finde ud af at installere CyanogenMod og kan sikkert også DD-WRT men jeg orker ikke at skulle vejlede forældregenerationen igennem dette, og mener faktisk det burde være forankret som ansvar et andet sted. Vi ville ikke acceptere at en bil var farlig efter 2 år!

  • more_vert
    • insert_linkKopier link
9
Hoder Jensen
17. oktober 2017 kl. 11:29

Og ang. Linux distro'er: "Linux patches are available now. Linux distributions should have it very shortly."

  • more_vert
    • insert_linkKopier link
8
Hoder Jensen
17. oktober 2017 kl. 11:27

Det står faktisk i artiklen.

"Det virker til, at Android og Linux begge kan blive snydt til at installere en krypteringsnøgle bestående udelukkende af 0'er - i stedet for at reinstallere den rigtige nøgle."

Det bliver også vendt i videoen, hvor de gennemgår et eksempel på udnyttelse af svagheden.

Google udsender et fix i starten af november til Android, Apple forventer at have et fix klar til MacOS og IOS inden for et par uger og Microsoft har som sagt allerede udgivet et fix til Windows 7 op op, undtaget Win8.

  • more_vert
    • insert_linkKopier link
7
Malthe Borch
17. oktober 2017 kl. 11:09

Windows 10 fik en patch d. 10. oktober. Det er argumentet :-).

  • more_vert
    • insert_linkKopier link
6
Magnus Jørgensen
17. oktober 2017 kl. 11:00

Hvad er argumentet for at Android og Linux er særligt ramt? Hvid det er en fejl i protokollen er Windows og Mac vel også ramt.

  • more_vert
    • insert_linkKopier link
5
Morten Sørensen
17. oktober 2017 kl. 09:25

Findes der en form for test, ligesom med Stagefright, der kan finde ud af om ens enhed er sårbar?

  • more_vert
    • insert_linkKopier link
4
Simon Mikkelsen
17. oktober 2017 kl. 08:21

Hvad har WPA med HTTP at gøre?</p>
<p>Adgang til et WiFi kan da bære et hav af andre protokoller.

Hvis man bruger kryptering til både web, e-mail og alle andre protokoller, vil dette hul i WPA2 ramme mindre hårdt. Skulle der opstå et hul i en anden protokol, vil WPA2 reducere angrebsfladen sammenlignet med en ukrypteret trådløs forbindelse. Det handler om defence in depth og assume breach: Gør det svært at lave et angreb, også selvom man er kommet igennem ét forsvarsværk.

  • more_vert
    • insert_linkKopier link
3
Slettet bruger
17. oktober 2017 kl. 07:27

Hvad har WPA med HTTP at gøre?</p>
<p>Adgang til et WiFi kan da bære et hav af andre protokoller.</p>
<p>Eller er det pludseligt på magisk vis blevet muligt at skabe en ny forbindelse ud af det blå?

Det handler vel mest om at hvis man bruger SSL/TLS når man "taler" med en hjemmeside så er data krypteret.

Altså at dine data er krypteret, inde i den WPA krypterede luftbårne datastrøm.

Tyven kan altså "læse" data som flyder på dit trådløse netværk, men da de data er krypteret så får han ikke fat i dine bankoplysninger eller lignende.

  • more_vert
    • insert_linkKopier link
2
Christian Nobel
16. oktober 2017 kl. 21:05

Hvad har WPA med HTTP at gøre?

Adgang til et WiFi kan da bære et hav af andre protokoller.

Eller er det pludseligt på magisk vis blevet muligt at skabe en ny forbindelse ud af det blå?

  • more_vert
    • insert_linkKopier link
1
Jonas Finnemann Jensen
16. oktober 2017 kl. 19:12

Jeg mindes et (formentligt bevist) provokerende debat indlæg af PHK... Hvor der blev argumenteret imod HTTPS.

Mit argument for HTTPS var at flere sikkerhedslag er nødvendigt; fordi de fleste af vores sikkerhedslag har masser af huller. Og det her er nok hverken den første eller sidste mandag vi vågner op til et gigantisk hul et sted i stakken.

Note. til API'er bruger jeg gerne HTTPS + en "authorization" header med en per-request HMAC, netop fordi der nok kommer endnu en bug i HTTPS.

  • more_vert
    • insert_linkKopier link