Det ved vi om WPA2-sårbarheden: Android og Linux er mest udsatte

Foto: Mathy Vangoef
Android- og Linuxenheder ser ud til at være særligt udsatte over for KRACK, der benytter en sårbarhed ved wifi-forbindelser.
Alex Hudson lufter sin nervøsitet i sin blog

Via en SSL-strip kan en angriber sende en Android- eller Linuxbruger uden om ægte netværk - gennem sit eget (der foregiver at være det ægte) ind på hjemmesider - også https-sider, der godt nok vil fremstå uden https-låsen, men det vil mange brugere kunne overse, forklarer Mathy Vanhoef i sin video.

Mathy Vanhoef er en anerkendt it-sikkerhedsforsker, der sammen med sin vejleder Frank Piessenes tidligere har fundet flere andre svagheder i bl.a. WPA-TKIP.

I eksemplet viser han, hvordan en bruger kan forsøge at logge ind på siden match.com, hvor han får mulighed for at se både brugernavn og adgangskoden i klartekst.

Det virker til, at Android og Linux begge kan blive snydt til at installere en krypteringsnøgle bestående udelukkende af 0'er - i stedet for at reinstallere den rigtige nøgle.
Se Mathy Vanhoefs video om KRACK

Hurtige facts

Det er umiddelbart ikke nogen grund til at gå i panik endnu. Det bør være muligt at patche WPA2, så sårbarheden bliver fjernet.

Det gør ingenting at ændre passwordet på dit trådløse netværk. Hvis først personen er inde, så er han inde, men det er naturligvis altid smart at sørge for at opdatere enheder og firmware på router.

Alle enheder, der benytter wifi kan være udsatte - nogle dog mere end andre.

Routere har ikke nødvendigvis brug for en opdatering, da en stor del af sikkerhedshullet opstår på brugerens enhed.

Det tekniske

Den videnskabelige artikel, skrevet af Mathy Vanhoef beskriver i tekniske detaljer, hvordan man får adgang til andres nøgler vha. KRACK.

Den beskriver et 4-way handshake, der er en del af WPA2-protokollen, hvor det er muligt at manipulere og få gensendt information.

Ifølge Vanloefs hjemmeside KRACK attacks benytter alle moderne beskyttede trådløse netværk 4-way handshakes.

Han påpeger desuden, at man med KRACK ikke kan få adgang til kodeordet til det oprindelige wifi-netværk.

Problemet er meldt og i system

Mathy Vanloef meldte problemet 14. og 15. juli til producenter af det de testede produkter, og der er også oprettet online problembeskrivelser.

De involverede CVEs (Common Vulnerabilities and Exposures) er:

CVE-2017-13077
CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13082
CVE-2017-13084
CVE-2017-13086
CVE-2017-13087
CVE-2017-13088

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
Jonas Finnemann Jensen

Jeg mindes et (formentligt bevist) provokerende debat indlæg af PHK... Hvor der blev argumenteret imod HTTPS.

Mit argument for HTTPS var at flere sikkerhedslag er nødvendigt; fordi de fleste af vores sikkerhedslag har masser af huller. Og det her er nok hverken den første eller sidste mandag vi vågner op til et gigantisk hul et sted i stakken.

Note. til API'er bruger jeg gerne HTTPS + en "authorization" header med en per-request HMAC, netop fordi der nok kommer endnu en bug i HTTPS.

Henrik Madsen

Hvad har WPA med HTTP at gøre?

Adgang til et WiFi kan da bære et hav af andre protokoller.

Eller er det pludseligt på magisk vis blevet muligt at skabe en ny forbindelse ud af det blå?

Det handler vel mest om at hvis man bruger SSL/TLS når man "taler" med en hjemmeside så er data krypteret.

Altså at dine data er krypteret, inde i den WPA krypterede luftbårne datastrøm.

Tyven kan altså "læse" data som flyder på dit trådløse netværk, men da de data er krypteret så får han ikke fat i dine bankoplysninger eller lignende.

Simon Mikkelsen

Hvad har WPA med HTTP at gøre?

Adgang til et WiFi kan da bære et hav af andre protokoller.

Hvis man bruger kryptering til både web, e-mail og alle andre protokoller, vil dette hul i WPA2 ramme mindre hårdt. Skulle der opstå et hul i en anden protokol, vil WPA2 reducere angrebsfladen sammenlignet med en ukrypteret trådløs forbindelse. Det handler om defence in depth og assume breach: Gør det svært at lave et angreb, også selvom man er kommet igennem ét forsvarsværk.

Hoder Jensen

Det står faktisk i artiklen.

"Det virker til, at Android og Linux begge kan blive snydt til at installere en krypteringsnøgle bestående udelukkende af 0'er - i stedet for at reinstallere den rigtige nøgle."

Det bliver også vendt i videoen, hvor de gennemgår et eksempel på udnyttelse af svagheden.

Google udsender et fix i starten af november til Android, Apple forventer at have et fix klar til MacOS og IOS inden for et par uger og Microsoft har som sagt allerede udgivet et fix til Windows 7 op op, undtaget Win8.

Mogens Lysemose

Dejligt at der Patches op flere steder. Men det understreger endnu engang problemeter fragmenteringen og mængden af usupporterede enheder der stadig bruges. Jeg har flere Android tablets der ikke har fået opdateringer i flere år, fordi producenten ikke ser benefit ved det. Det samme gælder min router, mine forældres enheder, mind svigerforældres enheder. "De virker så hvorfor skal de kasseres ud?" Men vi akkumulerer en voksende sårbarhedsportefølje ved at bruge enheder som ikke Patches. Jeg er indigneret over den brug og smid væk mentalitet der ligger til grund for at alting kun skal være understøttet i 2 år - sådan som bla. Android er designet. Og ja jeg kunne finde ud af at installere CyanogenMod og kan sikkert også DD-WRT men jeg orker ikke at skulle vejlede forældregenerationen igennem dette, og mener faktisk det burde være forankret som ansvar et andet sted. Vi ville ikke acceptere at en bil var farlig efter 2 år!

Lars Tørnes Hansen

Hvad Android tablets og mobiler angår ville jeg kigge på om der er en LineageOS, https://wiki.lineageos.org/ Android firmware for enheden.

Til min Samsung Galaxy S2 i9100, og min Motorola Moto G falcon (2013), findes der en LineageOS Android 7.0 firmware.

Udvikleren af firmwaren for Samsung Galaxy S2 i9100 har annonceret at der laves en Android 8.0 firmware til den.

Fremgangsmåde for installation af LineageOS er:

1) Lav en backup af din mobil - nogle mobilers Android firmware har en indbygget backup og restore feature.
Jeg brugte adt (Android Debug Tool), https://developer.android.com/studio/releases/platform-tools.html til at lave en backup.
2) Unlock fabrikantens boot loader - alle data du ikke har lavet en backup af bliver nuked.
3) Erstat fabrikantens bootloader med den TWRP bootloader der passer til din Android enhed.
4) Installer LingeageOS firmwaren der passer til din enhed.
5) Installer Open GApps, http://opengapps.org/ (Google Apps) via TWRP, hvis du ønsker at bruge en Google konto og Google Play.
6) Root evt din mobil - det skulle være nemt med TWRP - såvidt jeg har forstået det.
7) Har du gennemført punkt 6, så kan du installere apps der kræver root rettigheder.
5) Boot ind i LineageOS

Lav Nandroid backups med TWRP for at gemmen en komplet kopi af alle data fra din android enhed - meget nyttig når man opgraderer LineageOs til en nyere version af samme firmware.
http://trendblog.net/android-guide-make-nandroid-backup-android-phone/

Peter Ahlgren

Nu køre jeg permenent vpn via min pfsense boks.

Spørgsmålet er. Skal det være vpn fra min tlf til Accesspointet eller er det nok med vpn fra pfsense ud?

Da jeg med sikkerhed ved min tlf ikke bliver opdateret af asus. Med mindre jeg installerer en anden firmware. Og ved min accesspoint ikke vil modtage noget.
Dog en god undskyldning for at købe en ny.

Jesper Nielsen

eg er indigneret over den brug og smid væk mentalitet der ligger til grund for at alting kun skal være understøttet i 2 år - sådan som bla. Android er designet.

Det skulle så blive løst med Android Oreo og Project Treble. Med Treble kan Google bl.a. pushe sikkerhedsrettelser uden at disse skal omkring evt. producent og/eller netværksleverandør først.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017