Password deboleedit
Chiave pre-condivisa WPA e WPA2 rimangono vulnerabili agli attacchi di cracking delle password se gli utenti si affidano a una password o passphrase debole. Gli hash delle passphrase WPA sono seminati dal nome SSID e dalla sua lunghezza; esistono tabelle arcobaleno per i primi 1.000 SSID di rete e una moltitudine di password comuni, che richiedono solo una rapida ricerca per accelerare il cracking di WPA-PSK.
La forzatura bruta di password semplici può essere tentata utilizzando la suite Aircrack a partire dall’handshake di autenticazione a quattro vie scambiato durante l’associazione o la re-autenticazione periodica.
WPA3 sostituisce i protocolli crittografici suscettibili di analisi off-line con protocolli che richiedono l’interazione con l’infrastruttura per ogni password indovinata, presumibilmente ponendo limiti temporali sul numero di ipotesi. Tuttavia, i difetti di progettazione in WPA3 consentono agli aggressori di lanciare plausibilmente attacchi a forza bruta (vedi Attacco Dragonblood).
Mancanza di forward secrecyEdit
WPA e WPA2 non forniscono forward secrecy, il che significa che una volta che una persona avversa scopre la chiave pre-condivisa, può potenzialmente decifrare tutti i pacchetti crittografati usando quel PSK trasmesso in futuro e persino in passato, che potrebbe essere raccolto passivamente e silenziosamente dall’attaccante. Ciò significa anche che un utente malintenzionato può catturare e decifrare silenziosamente i pacchetti altrui se un punto di accesso protetto da WPA viene fornito gratuitamente in un luogo pubblico, poiché la sua password viene solitamente condivisa da chiunque in quel luogo. In altre parole, WPA protegge solo dagli aggressori che non hanno accesso alla password. Per questo motivo, è più sicuro utilizzare Transport Layer Security (TLS) o simili per il trasferimento di dati sensibili. Tuttavia, a partire da WPA3, questo problema è stato risolto.
WPA packet spoofing and decryptionEdit
Mathy Vanhoef e Frank Piessens migliorarono significativamente gli attacchi WPA-TKIP di Erik Tews e Martin Beck. Hanno dimostrato come iniettare un numero arbitrario di pacchetti, con ogni pacchetto contenente al massimo 112 byte di payload. Ciò è stato dimostrato implementando uno scanner di porte, che può essere eseguito su qualsiasi client utilizzando WPA-TKIP. Inoltre hanno mostrato come decifrare i pacchetti arbitrari inviati a un client. Hanno detto che questo può essere usato per dirottare una connessione TCP, consentendo a un utente malintenzionato di iniettare JavaScript dannoso quando la vittima visita un website.In al contrario, l’attacco Beck-Tews poteva decifrare solo pacchetti brevi con contenuti per lo più noti, come i messaggi ARP, e consentiva solo l’iniezione di 3-7 pacchetti di massimo 28 byte. L’attacco Beck-Tews richiede anche la Qualità del servizio (come definito in 802.11e) da abilitare, mentre l’attacco Vanhoef-Piessens no. Nessuno dei due attacchi porta al ripristino della chiave di sessione condivisa tra il client e il punto di accesso. Gli autori dicono che l’utilizzo di un breve intervallo di rekeying può prevenire alcuni attacchi ma non tutti e consiglia vivamente di passare da TKIP a CCMP basato su AES.
Halvorsen e altri mostrano come modificare l’attacco Beck-Tews per consentire l’iniezione di 3-7 pacchetti con una dimensione massima di 596 byte. Il rovescio della medaglia è che il loro attacco richiede sostanzialmente più tempo per l’esecuzione: circa 18 minuti e 25 secondi. In altri lavori Vanhoef e Piessens hanno dimostrato che, quando WPA viene utilizzato per crittografare i pacchetti broadcast, il loro attacco originale può anche essere eseguito. Questa è un’estensione importante, poiché sostanzialmente più reti usano WPA per proteggere i pacchetti broadcast, piuttosto che per proteggere i pacchetti unicast. Il tempo di esecuzione di questo attacco è in media di circa 7 minuti, rispetto ai 14 minuti dell’attacco originale Vanhoef-Piessens e Beck-Tews.
Le vulnerabilità di TKIP sono significative in quanto WPA-TKIP era stata ritenuta una combinazione estremamente sicura; in effetti, WPA-TKIP è ancora un’opzione di configurazione su un’ampia varietà di dispositivi di routing wireless forniti da molti fornitori di hardware. Un sondaggio nel 2013 ha mostrato che il 71% consente ancora l’utilizzo di TKIP e il 19% supporta esclusivamente TKIP.
WPS PIN recoveryEdit
Una falla di sicurezza più grave è stata rivelata nel dicembre 2011 da Stefan Viehböck che colpisce i router wireless con la funzione Wi-Fi Protected Setup (WPS), indipendentemente dal metodo di crittografia utilizzato. I modelli più recenti hanno questa funzione e la abilitano per impostazione predefinita. Molti produttori di dispositivi Wi-Fi consumer avevano adottato misure per eliminare il potenziale di scelte passphrase deboli promuovendo metodi alternativi di generare e distribuire automaticamente chiavi forti quando gli utenti aggiungono un nuovo adattatore wireless o appliance a una rete. Questi metodi includono la pressione di pulsanti sui dispositivi o l’inserimento di un PIN a 8 cifre.
La Wi-Fi Alliance standardizzato questi metodi come Wi-Fi Protected Setup; tuttavia la funzione PIN come ampiamente implementato introdotto un importante nuovo difetto di sicurezza. La falla consente a un utente malintenzionato remoto di recuperare il PIN WPS e, con esso, la password WPA/WPA2 del router in poche ore. Gli utenti sono stati invitati a disattivare la funzione WPS, anche se questo potrebbe non essere possibile su alcuni modelli di router. Inoltre, il PIN è scritto su un’etichetta sulla maggior parte dei router Wi-Fi con WPS e non può essere modificato se compromesso.
WPA3 introduce una nuova alternativa per la configurazione di dispositivi che non dispongono di sufficienti funzionalità di interfaccia utente, consentendo ai dispositivi vicini di fungere da interfaccia utente adeguata per scopi di provisioning di rete, mitigando così la necessità di WPS.
MS-CHAPv2 e la mancanza di server AAA CN validationEdit
Diversi punti deboli sono stati trovati in MS-CHAPv2, alcuni dei quali riducono gravemente la complessità degli attacchi a forza bruta, rendendoli fattibili con l’hardware moderno. Nel 2012 la complessità di rompere MS-CHAPv2 è stata ridotta a quella di rompere un singolo tasto DES, opera di Moxie Marlinspike e Marsh Ray. Moxie ha consigliato: “Le aziende che dipendono dalle proprietà di autenticazione reciproca di MS-CHAPv2 per la connessione ai loro server Radius WPA2 dovrebbero iniziare immediatamente la migrazione a qualcos’altro.”
I metodi EAP con tunnel che utilizzano TTLS o PEAP che crittografano lo scambio MSCHAPv2 sono ampiamente implementati per proteggere dallo sfruttamento di questa vulnerabilità. Tuttavia, le implementazioni client WPA2 prevalenti durante i primi anni 2000 erano soggette a errori di configurazione da parte degli utenti finali, o in alcuni casi (ad esempio Android), mancava qualsiasi modo accessibile all’utente per configurare correttamente la convalida del certificato server AAA CNs. Ciò ha esteso la rilevanza della debolezza originale in MSCHAPv2 all’interno di scenari di attacco MiTM. Nell’ambito di test di conformità WPA2 più severi annunciati insieme a WPA3, il software client certificato sarà richiesto di conformarsi a determinati comportamenti che circondano la convalida del certificato AAA.
Hole196Edit
Hole196 è una vulnerabilità nel protocollo WPA2 che abusa della chiave temporale del gruppo condiviso (GTK). Può essere utilizzato per condurre attacchi man-in-the-middle e denial-of-service. Tuttavia, presuppone che l’attaccante sia già autenticato contro il punto di accesso e quindi in possesso del GTK.
Predictable Group Temporal Key (GTK)Edit
Nel 2016 è stato dimostrato che gli standard WPA e WPA2 contengono un insecure Expository random Number generator (RNG). I ricercatori hanno dimostrato che, se i fornitori implementano il RNG proposto, un utente malintenzionato è in grado di prevedere la chiave di gruppo (GTK) che dovrebbe essere generata casualmente dal punto di accesso (AP). Inoltre, hanno dimostrato che il possesso del GTK consente all’attaccante di iniettare qualsiasi traffico nella rete e ha permesso all’attaccante di decifrare il traffico Internet unicast trasmesso sulla rete wireless. Hanno dimostrato il loro attacco contro un router Asus RT-AC51U che utilizza i driver out-of-tree MediaTek, che generano il GTK stessi, e ha mostrato il GTK può essere recuperato entro due minuti o meno. Allo stesso modo, hanno dimostrato che le chiavi generate dai demoni di accesso Broadcom in esecuzione su VxWorks 5 e versioni successive possono essere recuperate in quattro minuti o meno, il che riguarda, ad esempio, alcune versioni di Linksys WRT54G e alcuni modelli Apple Airport Extreme. I fornitori possono difendersi da questo attacco utilizzando un RNG sicuro. In questo modo, Hostapd in esecuzione su kernel Linux non è vulnerabile contro questo attacco e quindi i router che eseguono installazioni tipiche di OpenWrt o LEDE non presentano questo problema.
KRACK attackEdit
Nell’ottobre 2017 sono stati pubblicati i dettagli dell’attacco KRACK (Key Reinstallation Attack) su WPA2. Si ritiene che l’attacco KRACK influenzi tutte le varianti di WPA e WPA2; tuttavia, le implicazioni di sicurezza variano tra le implementazioni, a seconda di come i singoli sviluppatori hanno interpretato una parte poco specificata dello standard. Le patch software possono risolvere la vulnerabilità ma non sono disponibili per tutti i dispositivi.
Dragonblood attackEdit
Nell’aprile 2019 sono stati riscontrati gravi difetti di progettazione in WPA3 che consentono agli aggressori di eseguire attacchi di downgrade e attacchi a canali laterali, consentendo la forzatura bruta della passphrase e lanciando attacchi denial-of-service sulle stazioni base Wi-Fi.