gyenge jelszószerkesztés
az előre megosztott kulcsú WPA és WPA2 továbbra is sérülékeny a jelszó feltörési támadásokkal szemben, ha a felhasználók gyenge jelszóra vagy jelmondatra támaszkodnak. A WPA jelmondat-kivonatok az SSID nevéből és annak hosszából származnak; rainbow táblák léteznek az első 1000 hálózati SSID-hez és számos gyakori jelszóhoz, amelyek csak egy gyors keresést igényelnek a WPA-PSK feltörésének felgyorsítása érdekében.
az egyszerű jelszavak durva kényszerítése megkísérelhető az Aircrack csomag használatával, kezdve a négyirányú hitelesítési kézfogástól, amelyet Társítás vagy időszakos újbóli hitelesítés során cseréltek.
a WPA3 az off-line elemzésre fogékony kriptográfiai protokollokat olyan protokollokkal helyettesíti, amelyek minden egyes kitalált jelszó esetében interakciót igényelnek az infrastruktúrával, állítólag időbeli korlátokat szabva a találgatások számának. A WPA3 tervezési hibái azonban lehetővé teszik a támadók számára, hogy hihetően indítsanak brute-force támadásokat (lásd Dragonblood attack).
Lack of forward secrecyEdit
a WPA és a WPA2 nem biztosít forward titkosságot, ami azt jelenti, hogy ha egy nemkívánatos személy felfedezi az előre megosztott kulcsot, potenciálisan visszafejtheti az összes csomagot, amelyet a jövőben vagy akár a múltban továbbított PSK segítségével titkosítottak, amelyeket a támadó passzívan és csendben gyűjthet. Ez azt is jelenti, hogy a támadó némán rögzítheti és visszafejtheti mások csomagjait, ha egy WPA-védett hozzáférési pontot ingyenesen biztosítanak egy nyilvános helyen, mert a jelszavát általában megosztják az adott helyen bárkinek. Más szavakkal, a WPA csak azoktól a támadóktól véd, akik nem férnek hozzá a jelszóhoz. Emiatt biztonságosabb a Transport Layer Security (TLS) vagy hasonló használata az érzékeny adatok továbbításához. A WPA3-tól kezdve azonban ezzel a kérdéssel foglalkoztak.
WPA packet spoofing and decryptionEdit
Mathy Vanhoef és Frank Piessens jelentősen javítottak Erik Tews és Martin Beck WPA-TKIP támadásain. Megmutatták, hogyan lehet tetszőleges számú csomagot beadni, minden csomag legfeljebb 112 bájt hasznos terhet tartalmaz. Ezt egy port szkenner megvalósításával bizonyították, amely bármely kliens ellen végrehajtható a WPA-TKIP használatával. Ezenkívül megmutatták, hogyan lehet visszafejteni az Ügyfélnek küldött tetszőleges csomagokat. Megemlítették, hogy ez felhasználható a TCP kapcsolat eltérítésére, lehetővé téve a támadó számára, hogy rosszindulatú Javascriptet injektáljon, amikor az áldozat meglátogatja a website.In ezzel szemben a Beck-Tews támadás csak olyan rövid csomagokat tudott visszafejteni, amelyek többnyire ismert tartalommal rendelkeznek, mint például az ARP üzenetek, és csak 3-7, legfeljebb 28 bájtos csomag befecskendezését engedélyezték. A Beck-Tews támadás a szolgáltatás minőségét is megköveteli (a 802.11e) engedélyezni kell, míg a Vanhoef-Piessens támadás nem. Egyik támadás sem vezet a megosztott munkamenet kulcs helyreállításához az ügyfél és a hozzáférési pont között. A szerzők azt mondják, hogy egy rövid rekeying intervallum használatával megelőzhető néhány támadás, de nem minden, és erősen javasoljuk a TKIP-ről az AES-alapú CCMP-re való váltást.
Halvorsen és mások megmutatják, hogyan lehet módosítani a Beck-Tews támadást, hogy 3-7 csomag legfeljebb 596 bájt méretű legyen. Hátránya, hogy a támadás végrehajtásához lényegesen több idő szükséges: körülbelül 18 perc 25 másodperc. Más munkákban Vanhoef és Piessens megmutatta, hogy amikor a WPA-t a broadcast csomagok titkosítására használják, az eredeti támadásuk is végrehajtható. Ez egy fontos kiterjesztés, mivel lényegesen több hálózat használja a WPA-t a sugárzott csomagok védelmére, mint az unicast csomagok védelmére. Ennek a támadásnak a végrehajtási ideje átlagosan körülbelül 7 perc, szemben az eredeti Vanhoef-Piessens és Beck-Tews támadás 14 percével.
a TKIP biztonsági rései jelentősek abban, hogy a WPA-TKIP-et rendkívül biztonságos kombinációnak tartották; valójában a WPA-TKIP továbbra is konfigurációs lehetőség a vezeték nélküli útválasztási eszközök széles skáláján, amelyet sok hardvergyártó biztosít. Egy 2013-as felmérés kimutatta, hogy 71% továbbra is engedélyezi a TKIP használatát, 19% pedig kizárólag a TKIP-t támogatja.
WPS PIN recoveryEdit
a Stefan Viehb által 2011 decemberében feltárt súlyosabb biztonsági hiba, amely a Wi-Fi Protected Setup (WPS) funkcióval rendelkező vezeték nélküli útválasztókat érinti, függetlenül attól, hogy melyik titkosítási módszert használják. A legújabb modellek rendelkeznek ezzel a funkcióval, és alapértelmezés szerint engedélyezik. Számos fogyasztói Wi-Fi eszközgyártó lépéseket tett a gyenge jelmondatválasztás lehetőségének kiküszöbölésére azáltal, hogy alternatív módszereket támogatott az erős kulcsok automatikus generálására és terjesztésére, amikor a felhasználók új vezeték nélküli adaptert vagy készüléket adnak a hálózathoz. Ezek a módszerek magukban foglalják az eszközök gombjainak megnyomását vagy egy 8 számjegyű PIN-kód megadását.
a Wi-Fi Alliance szabványosította ezeket a módszereket Wi-Fi Protected Setup néven; a széles körben alkalmazott PIN funkció azonban jelentős új biztonsági hibát vezetett be. A hiba lehetővé teszi a távoli támadó számára, hogy néhány órán belül helyreállítsa a WPS PIN-kódot és vele együtt az útválasztó WPA/WPA2 jelszavát. A felhasználókat arra kérték, hogy kapcsolják ki a WPS funkciót, bár ez egyes útválasztó modelleknél nem lehetséges. Ezenkívül a PIN-kódot a legtöbb WPS-sel rendelkező Wi-Fi útválasztó címkéjére írják, és nem változtatható meg, ha veszélybe kerül.
a WPA3 új alternatívát vezet be a megfelelő felhasználói interfész képességekkel nem rendelkező eszközök konfigurálásához, lehetővé téve a közeli eszközök számára, hogy megfelelő felhasználói felületként szolgáljanak hálózati kiépítési célokra, ezáltal enyhítve a WPS szükségességét.
MS-CHAPv2 és az AAA server CN validationEdit hiánya
számos gyengeséget találtak az MS-CHAPv2-ben, amelyek közül néhány súlyosan csökkenti a brute-force támadások összetettségét, így a modern hardverekkel megvalósíthatók. 2012-ben az MS-CHAPv2 feltörésének összetettsége egyetlen DES kulcs feltörésére csökkent, Moxie Marlinspike és Marsh Ray munkája. Moxie azt tanácsolta: “azoknak a vállalkozásoknak, amelyek az MS-CHAPv2 kölcsönös hitelesítési tulajdonságaitól függenek a WPA2 Radius szervereikhez való csatlakozáshoz, azonnal el kell kezdeniük valami másra való áttérést.”
az Mschapv2 cserét titkosító TTLS-t vagy PEAP-t használó Tunneled EAP módszereket széles körben alkalmazzák a biztonsági rés kihasználása elleni védelem érdekében. Az elterjedt WPA2 kliens implementációk azonban a 2000-es évek elején hajlamosak voltak a végfelhasználók téves konfigurálására, vagy bizonyos esetekben (pl. Android) hiányzott a felhasználó által elérhető mód az AAA szerver tanúsítvány CNs érvényesítésének megfelelő konfigurálásához. Ez kiterjesztette az mschapv2 eredeti gyengeségének relevanciáját az MiTM támadási forgatókönyvein belül. A WPA3 mellett bejelentett szigorúbb WPA2 megfelelőségi tesztek szerint a tanúsított ügyfélszoftvereknek meg kell felelniük az AAA tanúsítvány érvényesítésével kapcsolatos bizonyos viselkedéseknek.
Hole196Edit
a Hole196 a WPA2 protokoll biztonsági rése, amely visszaél a megosztott csoport időbeli kulcsával (GTK). Ezt fel lehet használni, hogy végezzen man-in-the-middle és denial-of-service támadások. Feltételezi azonban, hogy a támadó már hitelesítve van a hozzáférési ponttal szemben, így a GTK birtokában van.
kiszámítható csoport temporális kulcs (GTK)Szerkesztés
2016-ban kimutatták, hogy a WPA és a WPA2 szabványok nem biztonságos expozíciós véletlenszám-generátort (RNG) tartalmaznak. A kutatók kimutatták, hogy ha a gyártók végrehajtják a javasolt RNG-t, a támadó képes megjósolni a csoportkulcsot (GTK), amelyet állítólag véletlenszerűen generál a hozzáférési pont (AP). Ezenkívül kimutatták, hogy a GTK birtoklása lehetővé teszi a támadó számára, hogy bármilyen forgalmat beinjektáljon a hálózatba, és lehetővé tette a támadó számára a vezeték nélküli hálózaton továbbított unicast internetes forgalom visszafejtését. Bemutatták támadásukat egy Asus RT-AC51U router ellen, amely a MediaTek fán kívüli illesztőprogramokat használja, amelyek maguk generálják a GTK-t, és megmutatták, hogy a GTK két percen belül vagy kevesebbel helyreállítható. Hasonlóképpen bemutatták, hogy a VxWorks 5 és újabb verziókon futó Broadcom access démonok által generált kulcsok négy perc alatt vagy annál rövidebb idő alatt helyreállíthatók, ami például a Linksys WRT54G bizonyos verzióit és az Apple AirPort Extreme egyes modelljeit érinti. A gyártók biztonságos RNG használatával védekezhetnek a támadás ellen. Ezzel a Linux kerneleken futó Hostapd nem sebezhető a támadással szemben, így a tipikus OpenWrt vagy LEDE telepítéseket futtató útválasztók nem mutatják ezt a problémát.
KRACK attackEdit
2017 októberében közzétették a WPA2 elleni KRACK (Key Reinstallation Attack) támadás részleteit. Úgy gondolják, hogy a KRACK támadás a WPA és a WPA2 összes változatát érinti; a biztonsági következmények azonban az implementációk között eltérőek, attól függően, hogy az egyes fejlesztők hogyan értelmezték a szabvány rosszul meghatározott részét. A szoftver javítások megoldhatják a biztonsági rést, de nem minden eszközön érhetők el.
Dragonblood attackEdit
2019 áprilisában súlyos tervezési hibákat találtak a WPA3-ban, amelyek lehetővé teszik a támadók számára, hogy downgrade támadásokat és oldalcsatornás támadásokat hajtsanak végre, lehetővé téve a jelszó durva kényszerítését, valamint szolgáltatásmegtagadási támadások indítását a Wi-Fi bázisállomások ellen.