Schwacher passwordEdit
Pre-Shared Key WPA und WPA2 bleiben anfällig für Angriffe zum Knacken von Passwörtern, wenn Benutzer sich auf ein schwaches Passwort oder eine schwache Passphrase verlassen. WPA-Passphrasen-Hashes werden aus dem SSID-Namen und seiner Länge ausgesät; Rainbow-Tabellen existieren für die Top 1.000 Netzwerk-SSIDs und eine Vielzahl von gängigen Passwörtern, die nur eine schnelle Suche erfordern, um das Knacken von WPA-PSK zu beschleunigen.
Brute-Forcing von einfachen Passwörtern kann mit der Aircrack Suite versucht werden, beginnend mit dem Vier-Wege-Authentifizierungs-Handshake, der während der Zuordnung oder periodischen erneuten Authentifizierung ausgetauscht wird.
WPA3 ersetzt kryptografische Protokolle, die für Offline-Analysen anfällig sind, durch Protokolle, die für jedes erratene Kennwort eine Interaktion mit der Infrastruktur erfordern, wodurch die Anzahl der erratenen Kennwörter angeblich zeitlich begrenzt wird. Konstruktionsfehler in WPA3 ermöglichen es Angreifern jedoch, Brute-Force-Angriffe plausibel zu starten (siehe Dragonblood-Angriff).
Mangel an Forward secrecyEdit
WPA und WPA2 bieten keine Forward Secrecy, was bedeutet, dass eine unerwünschte Person, sobald sie den Pre-Shared Key entdeckt, möglicherweise alle mit diesem PSK verschlüsselten Pakete entschlüsseln kann, die in der Zukunft und sogar in der Vergangenheit übertragen wurden und vom Angreifer passiv und stillschweigend gesammelt werden könnten. Dies bedeutet auch, dass ein Angreifer die Pakete anderer unbemerkt erfassen und entschlüsseln kann, wenn ein WPA-geschützter Zugangspunkt an einem öffentlichen Ort kostenlos bereitgestellt wird, da sein Kennwort normalerweise an jeden an diesem Ort weitergegeben wird. Mit anderen Worten, WPA schützt nur vor Angreifern, die keinen Zugriff auf das Kennwort haben. Aus diesem Grund ist es sicherer, Transport Layer Security (TLS) oder ähnliches für die Übertragung sensibler Daten zu verwenden. Ab WPA3 wurde dieses Problem jedoch behoben.
WPA-Paket-Spoofing und Entschlüsselungbearbeiten
Mathy Vanhoef und Frank Piessens haben die WPA-TKIP-Angriffe von Erik Tews und Martin Beck deutlich verbessert. Sie demonstrierten, wie eine beliebige Anzahl von Paketen injiziert werden kann, wobei jedes Paket höchstens 112 Byte Nutzlast enthält. Dies wurde durch die Implementierung eines Portscanners demonstriert, der mit WPA-TKIP gegen jeden Client ausgeführt werden kann. Zusätzlich zeigten sie, wie man beliebige Pakete entschlüsselt, die an einen Client gesendet werden. Sie erwähnten, dass dies verwendet werden kann, um eine TCP-Verbindung zu entführen, sodass ein Angreifer bösartiges JavaScript injizieren kann, wenn das Opfer a besucht website.In im Gegensatz dazu konnte der Beck-Tews-Angriff nur kurze Pakete mit meist bekanntem Inhalt wie ARP-Nachrichten entschlüsseln und erlaubte nur die Injektion von 3 bis 7 Paketen von höchstens 28 Byte. Der Beck-Tews-Angriff erfordert auch Quality of Service (wie in 802 definiert.11e) aktiviert werden, während der Vanhoef-Piessens-Angriff nicht. Keiner der Angriffe führt zur Wiederherstellung des gemeinsamen Sitzungsschlüssels zwischen Client und Access Point. Die Autoren sagen, dass die Verwendung eines kurzen Rekeying-Intervalls einige Angriffe verhindern kann, aber nicht alle, und empfehlen dringend, von TKIP zu AES-basiertem CCMP zu wechseln.
Halvorsen und andere zeigen, wie man den Beck-Tews-Angriff modifiziert, um die Injektion von 3 bis 7 Paketen mit einer Größe von höchstens 596 Byte zu ermöglichen. Der Nachteil ist, dass ihr Angriff wesentlich mehr Zeit in Anspruch nimmt: ungefähr 18 Minuten und 25 Sekunden. In anderen Arbeiten haben Vanhoef und Piessens gezeigt, dass, wenn WPA zum Verschlüsseln von Broadcast-Paketen verwendet wird, auch deren ursprünglicher Angriff ausgeführt werden kann. Dies ist eine wichtige Erweiterung, da wesentlich mehr Netzwerke WPA zum Schutz von Broadcast-Paketen als zum Schutz von Unicast-Paketen verwenden. Die Ausführungszeit dieses Angriffs beträgt im Durchschnitt etwa 7 Minuten, verglichen mit den 14 Minuten des ursprünglichen Vanhoef-Piessens- und Beck-Tews-Angriffs.
Die Verwundbarkeiten von TKIP sind insofern signifikant, als WPA-TKIP als extrem sichere Kombination angesehen wurde; in der Tat ist WPA-TKIP immer noch eine Konfigurationsoption für eine Vielzahl von drahtlosen Routing-Geräten, die von vielen Hardwareanbietern bereitgestellt werden. Eine Umfrage im Jahr 2013 ergab, dass 71% weiterhin die Verwendung von TKIP zulassen und 19% ausschließlich TKIP unterstützen.
WPS PIN recoveryEdit
Eine schwerwiegendere Sicherheitslücke wurde im Dezember 2011 von Stefan Viehböck aufgedeckt, die WLAN-Router mit der Funktion Wi-Fi Protected Setup (WPS) betrifft, unabhängig davon, welche Verschlüsselungsmethode sie verwenden. Die neuesten Modelle verfügen über diese Funktion und aktivieren sie standardmäßig. Viele Hersteller von Wi-Fi-Geräten für Verbraucher hatten Schritte unternommen, um das Potenzial schwacher Passphrasen zu beseitigen, indem sie alternative Methoden zur automatischen Generierung und Verteilung starker Schlüssel förderten, wenn Benutzer einem Netzwerk einen neuen drahtlosen Adapter oder eine neue Appliance hinzufügen. Diese Methoden umfassen das Drücken von Tasten an den Geräten oder die Eingabe einer 8-stelligen PIN.
Die Wi-Fi Alliance standardisierte diese Methoden als Wi-Fi Protected Setup; Die weit verbreitete PIN-Funktion führte jedoch zu einer großen neuen Sicherheitslücke. Der Fehler ermöglicht es einem entfernten Angreifer, die WPS-PIN und damit das WPA / WPA2-Passwort des Routers in wenigen Stunden wiederherzustellen. Benutzer wurden aufgefordert, die WPS-Funktion zu deaktivieren, obwohl dies bei einigen Routermodellen möglicherweise nicht möglich ist. Außerdem ist die PIN auf den meisten Wi-Fi-Routern mit WPS auf einem Etikett angegeben und kann nicht geändert werden, wenn sie kompromittiert wird.
WPA3 führt eine neue Alternative für die Konfiguration von Geräten ein, die nicht über ausreichende Benutzerschnittstellenfunktionen verfügen, indem Geräte in der Nähe als angemessene Benutzeroberfläche für Netzwerkbereitstellungszwecke dienen können, wodurch der Bedarf an WPS verringert wird.
MS-CHAPv2 und fehlende AAA-Server-CN-Validierungbearbeiten
In MS-CHAPv2 wurden mehrere Schwachstellen gefunden, von denen einige die Komplexität von Brute-Force-Angriffen erheblich verringern und sie mit moderner Hardware durchführbar machen. Im Jahr 2012 wurde die Komplexität des Brechens von MS-CHAPv2 auf das Brechen eines einzelnen DES-Schlüssels reduziert, eine Arbeit von Moxie Marlinspike und Marsh Ray. Moxie riet: „Unternehmen, die für die Verbindung zu ihren WPA2-Radius-Servern auf die gegenseitigen Authentifizierungseigenschaften von MS-CHAPv2 angewiesen sind, sollten sofort mit der Migration zu etwas anderem beginnen.“
Getunnelte EAP-Methoden mit TTLS oder PEAP, die den MSCHAPv2-Austausch verschlüsseln, werden häufig zum Schutz vor der Ausnutzung dieser Sicherheitsanfälligkeit eingesetzt. Die vorherrschenden WPA2-Client-Implementierungen in den frühen 2000er Jahren waren jedoch anfällig für Fehlkonfigurationen durch Endbenutzer oder in einigen Fällen (z. B. Android) fehlte eine vom Benutzer zugängliche Möglichkeit, die Validierung von AAA-Serverzertifikat-CNs ordnungsgemäß zu konfigurieren. Dies erweiterte die Relevanz der ursprünglichen Schwachstelle in MSCHAPv2 innerhalb von MiTM-Angriffsszenarien. Unter strengeren WPA2-Konformitätstests, die neben WPA3 angekündigt wurden, muss zertifizierte Client-Software bestimmte Verhaltensweisen im Zusammenhang mit der AAA-Zertifikatsvalidierung erfüllen.
Hole196Edit
Hole196 ist eine Sicherheitsanfälligkeit im WPA2-Protokoll, die den Shared Group Temporal Key (GTK) missbraucht. Es kann verwendet werden, um Man-in-the-Middle- und Denial-of-Service-Angriffe durchzuführen. Es wird jedoch davon ausgegangen, dass der Angreifer bereits gegen Access Point authentifiziert ist und somit im Besitz des GTK ist.
Predictable Group Temporal Key (GTK)Edit
Im Jahr 2016 wurde gezeigt, dass die WPA- und WPA2-Standards einen unsicheren Expository Random Number Generator (RNG) enthalten. Die Forscher zeigten, dass ein Angreifer, wenn er den vorgeschlagenen RNG implementiert, den Gruppenschlüssel (GTK) vorhersagen kann, der zufällig vom Access Point (AP) generiert werden soll. Darüber hinaus zeigten sie, dass der Besitz des GTK es dem Angreifer ermöglicht, jeglichen Datenverkehr in das Netzwerk zu injizieren, und es dem Angreifer ermöglicht, den über das drahtlose Netzwerk übertragenen Unicast-Internetverkehr zu entschlüsseln. Sie demonstrierten ihren Angriff gegen einen Asus RT-AC51U-Router, der die MediaTek Out-of-Tree-Treiber verwendet, die das GTK selbst generieren, und zeigten, dass das GTK innerhalb von zwei Minuten oder weniger wiederhergestellt werden kann. In ähnlicher Weise demonstrierten sie, dass die von Broadcom Access Daemons generierten Schlüssel, die auf VxWorks 5 und höher ausgeführt werden, in vier Minuten oder weniger wiederhergestellt werden können, was beispielsweise bestimmte Versionen von Linksys WRT54G und bestimmte Apple AirPort Extreme-Modelle betrifft. Anbieter können sich gegen diesen Angriff verteidigen, indem sie einen sicheren RNG verwenden. Auf diese Weise ist Hostapd, das auf Linux-Kerneln ausgeführt wird, nicht anfällig für diesen Angriff, und daher weisen Router, die typische OpenWRT- oder LEDE-Installationen ausführen, dieses Problem nicht auf.
KRACK-Angriffbearbeiten
Im Oktober 2017 wurden Details des KRACK-Angriffs (Key Reinstallation Attack) auf WPA2 veröffentlicht. Es wird angenommen, dass der KRACK-Angriff alle Varianten von WPA und WPA2 betrifft; Die Auswirkungen auf die Sicherheit variieren jedoch zwischen den Implementierungen, je nachdem, wie einzelne Entwickler einen schlecht spezifizierten Teil des Standards interpretiert haben. Softwarepatches können die Sicherheitsanfälligkeit beheben, sind jedoch nicht für alle Geräte verfügbar.
Dragonblood attackEdit
Im April 2019 wurden schwerwiegende Konstruktionsfehler in WPA3 festgestellt, die es Angreifern ermöglichen, Downgrade-Angriffe und Seitenkanalangriffe durchzuführen, wodurch die Passphrase Brute-Forcing-fähig wird und Denial-of-Service-Angriffe auf Wi-Fi-Basisstationen gestartet werden.