weak passwordEdit
chave pré-partilhada WPA e WPA2 permanecem vulneráveis a ataques de cracking de senhas se os utilizadores dependerem de uma senha ou frase-senha fraca. Os traços da frase-senha do WPA são semeados a partir do nome do SSID e do seu comprimento; as tabelas arco-íris existem para os SSIDs top 1000 da rede e uma infinidade de senhas comuns, necessitando apenas de uma rápida busca para acelerar o cracking do WPA-PSK.
Força bruta de senhas simples pode ser tentado usando o pacote Aircrack começando a partir do aperto de mão de autenticação de quatro vias trocado durante a associação ou re-autenticação periódica.
WPA3 substitui protocolos criptográficos suscetíveis à análise off-line com protocolos que exigem interação com a infra-estrutura para cada senha adivinhada, supostamente colocando limites temporais no número de suposições. No entanto, falhas de design no WPA3 permitem aos atacantes lançar ataques de Força bruta de forma plausível (ver ataque de sangue de Dragão).
falta de secrecyEdit para a frente
WPA e WPA2 não fornecem segredo para a frente, o que significa que uma pessoa adversa descobre a chave pré-compartilhada, eles podem potencialmente decifrar todos os pacotes criptografados usando esse PSK transmitido no futuro e até mesmo no passado, que poderia ser passivamente e silenciosamente coletado pelo atacante. Isso também significa que um atacante pode capturar silenciosamente e descriptografar pacotes de outros se um ponto de acesso protegido por WPA é fornecido gratuitamente em um lugar público, porque sua senha é geralmente compartilhada para qualquer um naquele lugar. Em outras palavras, o WPA só protege de atacantes que não têm acesso à senha. Por causa disso, é mais seguro usar segurança de camada de transporte (TLS) ou similar em cima do que para a transferência de quaisquer dados sensíveis. No entanto, a partir do WPA3, esta questão foi abordada.
WPA packet spoofing and decryptionEdit
Mathy Vanhoef and Frank Piessens significantly improved upon the WPA-TKIP attacks of Erik Tews and Martin Beck. Eles demonstraram como injectar um número arbitrário de pacotes, com cada pacote contendo no máximo 112 bytes de carga útil. Isso foi demonstrado pela implementação de um scanner portuário, que pode ser executado contra qualquer cliente usando WPA-TKIP. Além disso, eles mostraram como descriptografar pacotes arbitrários enviados para um cliente. Eles mencionaram isso pode ser usado para roubar uma conexão TCP, permitindo que um invasor injete JavaScript malicioso quando a vítima visita um website.Em contraste, o Beck-Tews ataque só poderia descriptografar pequenos pacotes com mais conhecido de conteúdo, como ARP mensagens, e apenas permitiu a injeção de 3 a 7 de pacotes de no máximo 28 bytes. O ataque Beck-Tews também requer qualidade de serviço (como definido em 802.11e) para ser permitido, enquanto o ataque Vanhoef-Piessens não. Nenhum dos ataques leva à recuperação da chave de sessão compartilhada entre o cliente e ponto de acesso. Os autores dizem que o uso de um curto intervalo de rekeying pode prevenir alguns ataques, mas não todos, e recomenda fortemente a mudança do TKIP para CCMP baseado no AES.
Halvorsen e outros mostram como modificar o ataque Beck-Tews para permitir a injecção de 3 a 7 pacotes com um tamanho máximo de 596 bytes. A desvantagem é que seu ataque requer substancialmente mais tempo para executar: aproximadamente 18 minutos e 25 segundos. Em outros trabalhos, Vanhoef e Piessens mostraram que, quando o WPA é usado para criptografar pacotes de transmissão, seu ataque original também pode ser executado. Esta é uma extensão importante, pois substancialmente mais redes usam WPA para proteger pacotes de transmissão, do que para proteger pacotes unicast. O tempo de execução deste ataque é, em média, de cerca de 7 minutos, em comparação com os 14 minutos do ataque original de Vanhoef-Piessens e Beck-Tews.
as vulnerabilidades do TKIP são significativas na medida em que o WPA-TKIP tinha sido considerado uma combinação extremamente segura; na verdade, o WPA-TKIP ainda é uma opção de configuração sobre uma grande variedade de dispositivos de roteamento sem fio fornecidos por muitos fornecedores de hardware. Uma pesquisa em 2013 mostrou que 71% ainda permitem o uso do TKIP, e 19% suportam exclusivamente o TKIP.
WPS PIN recoveryEdit
uma falha de segurança mais grave foi revelada em dezembro de 2011 por Stefan Viehböck que afeta roteadores sem fio com o recurso de configuração protegida Wi-Fi (WPS), independentemente do método de criptografia que eles usam. Os modelos mais recentes têm este recurso e permitem-no por padrão. Muitos fabricantes de dispositivos Wi-Fi de consumo tinham tomado medidas para eliminar o potencial de escolhas de frases-chave fracas, promovendo métodos alternativos de geração e distribuição automática de chaves fortes quando os usuários adicionam um novo adaptador ou aparelho sem fio a uma rede. Estes métodos incluem carregar em botões nos dispositivos ou introduzir um PIN de 8 dígitos.
a Aliança Wi-Fi padronizou estes métodos como configuração protegida por Wi-Fi; no entanto, o recurso PIN como amplamente implementado introduziu uma grande nova falha de segurança. A falha permite que um atacante remoto recupere o PIN WPS e, com ele, a senha WPA/WPA2 do roteador em poucas horas. Os usuários foram instados a desligar o recurso WPS, embora isso possa não ser possível em alguns modelos de roteadores. Além disso, o PIN é escrito em uma etiqueta na maioria dos roteadores Wi-Fi com WPS, e não pode ser alterado se comprometido.
WPA3 introduz uma nova alternativa para a configuração de dispositivos que não possuem capacidade de interface de usuário suficiente, permitindo que dispositivos próximos sirvam como uma IU adequada para fins de provisionamento de rede, assim mitigando a necessidade de WPS.
MS-CHAPv2 e falta de servidor AAA CN validationEdit
Várias falhas foram encontradas no MS-CHAPv2, alguns dos quais gravemente reduzir a complexidade de ataques de força bruta, tornando-os viáveis com hardware moderno. Em 2012, a complexidade de quebrar o MS-CHAPv2 foi reduzida à de quebrar um único DES key, trabalho de Moxie Marlinspike e Marsh Ray. Moxie aconselhou: “empresas que estão dependendo das propriedades de autenticação mútua do MS-CHAPv2 para conexão com seus servidores de raio WPA2 devem imediatamente começar a migrar para outra coisa.”
Tunneled EAP methods using TTLS or PEAP which encrypt the MSCHAPv2 exchange are widely deployed to protect against exploitation of this vulnerability. No entanto, implementações prevalentes do cliente WPA2 durante o início da década de 2000 eram propensas a má configuração por usuários finais, ou em alguns casos (por exemplo, Android), não tinham qualquer forma acessível ao Usuário para configurar corretamente a validação do certificado do servidor AAA CNs. Isto estendeu a relevância da fraqueza original no MSCHAPv2 dentro de cenários de ataque MiTM. Sob testes de Conformidade WPA2 mais rigorosos anunciados ao lado do WPA3, software cliente Certificado será necessário para se conformar a certos comportamentos em torno da validação do certificado AAA.
Hole196Edit
Hole196 é uma vulnerabilidade no protocolo WPA2 que abusa da chave Temporal do grupo compartilhado (GTK). Pode ser usado para conduzir ataques de homem-no-meio e negação de serviço. No entanto, ele assume que o atacante já está autenticado contra o ponto de acesso e, portanto, na posse do GTK.
Predictable Group Temporal Key (GTK)Edit
In 2016 it was shown that the WPA and WPA2 standards contain an un inseguro expository random number generator (RNG). Pesquisadores mostraram que, se os vendedores implementarem o RNG proposto, um atacante é capaz de prever a chave de grupo (GTK) que supostamente é gerada aleatoriamente pelo ponto de acesso (AP). Além disso, eles mostraram que a posse do GTK permite ao atacante injetar qualquer tráfego na rede, e permitiu ao atacante descriptografar o tráfego de internet unicast transmitido através da rede sem fio. Eles demonstraram seu ataque contra um router ASUS RT-AC51U que usa os drivers MediaTek out-of-tree, que geram o GTK eles mesmos, e mostrou que o GTK pode ser recuperado em dois minutos ou menos. Da mesma forma, eles demonstraram as chaves geradas pela Broadcom access daemons que funcionam na VxWorks 5 e mais tarde podem ser recuperados em quatro minutos ou menos, o que afeta, por exemplo, certas versões de Linksys WRT54G e alguns modelos extremos do Apple AirPort. Os vendedores podem defender-se contra este ataque usando um RNG seguro. Ao fazer isso, Hostapd rodando em kernels Linux não é vulnerável contra este ataque e, portanto, roteadores executando instalações típicas OpenWrt ou LEDE não exibem este problema.
KRACK attackEdit
In October 2017, details of the KRACK (Key Reinstalation Attack) attack on WPA2 were published. Acredita-se que o ataque KRACK afeta todas as variantes do WPA e do WPA2; no entanto, as implicações de segurança variam entre implementações, dependendo de como desenvolvedores individuais interpretaram uma parte mal especificada do padrão. Patches de Software podem resolver a vulnerabilidade, mas não estão disponíveis para todos os dispositivos.
Dragonblood attackEdit
In April 2019, serious design flaws in WPA3 were found which allow attackers to perform downgrade attacks and side-channel attacks, enabling brute-forcing the passphrase, as well as launching denial-of-service attacks on Wi-Fi base stations.