Δυο μεγάλες ευπάθειες στο πρότυπο του Wi-Fi μπορούν να επιτρέψουν σε κάποιον κακόβουλο χρήστη να πάρει πρόσβαση στο οικιακό ή εταιρικό μας δίκτυο. Οι νέες ευπάθειες δημοσιεύθηκαν από το Top10VPN, με την βοήθεια του Mathy Vanhoef, που είναι γνωστός ερευνητής ασφαλείας. Οι δύο ευπάθειες είναι ξεχωριστές, όμως μαζί μπορούν να ανοίξουν διάπλατα την πόρτα για το οικιακό ή το εταιρικό μας δίκτυο. Οι δύο ευπάθειες επιτρέπουν αυτό που είναι γνωστό σαν authentication bypass επιθέσεις. Για να γίνει αυτό, οι hackers προσπαθούν να ξεγελάσουν τους χρήστες, ώστε να συνδεθούν σε ένα κλώνο του δικτύου τους, κλέβοντας τα δεδομένα τους, ενώ στην συνέχεια μπορούν να συνδεθούν στο αρχικό Wi-Fi δίκτυο, χωρίς κωδικό.

Η μεγαλύτερη ανησυχία είναι πως το wpa_supplicant v2.10 και κάτω, χρησιμοποιείται από τις Android συσκευές για να συνδεθούν σε δίκτυα Wi-Fi που είναι κλειδωμένα με κωδικό. Επίσης το wpa_supplicant χρησιμοποιείται και για σύνδεση σε Wi-Fi δίκτυα σε chromebooks και Linux μηχανήματα, οπότε μιλάμε για κενό ασφαλείας που επηρεάζει ένα τεράστιο αριθμό χρηστών. Σύμφωνα με την μελέτη, η ευπάθεια θα επηρεάσει συσκευές που δεν έχουν παραμετροποιηθεί σωστά. Η μελέτη όμως δείχνει πως οι περισσότεροι χρήστες δεν έχουν της συσκευές τους σωστά παραμετροποιημένες, κάτι που σημαίνει πως 2.3 δισεκατομμύρια χρήστες Android πιθανότατα επηρεάζονται από αυτό το κενό ασφαλείας.

Το εν λόγω ζήτημα ασφαλείας προς το παρόν επηρεάζει κυρίως εταιρικά δίκτυα και κρατικούς φορείς. Από την άλλη αρκετοί χρήστες εργάζονται και συνδέονται σε αυτά τα δίκτυα καθημερινά, παραδίδοντας τα δεδομένα τους, συμπεριλαμβανομένων και των κωδικών Wi-Fi για τα υπόλοιπα δίκτυα που έχουν συνδεθεί.

Η δεύτερη ευπάθεια αφορά το λογισμικό IWD και επηρεάζει τα οικιακά δίκτυα, όμως αυτό περιλαμβάνει Linux συσκευές μόνο, επομένως αρκετοί χρήστες θα είναι ασφαλείς.

Ήδη έχουν ξεκινήσει διαδικασίες επιδιόρθωσης των κενών ασφαλείας. Το σφάλμα wpa_supplicant παρακολουθείται ως CVE-2023-52160 και το ελάττωμα IWD παρακολουθείται ως CVE-2023-52161. Ήδη έχουν κυκλοφορήσει τα πρώτα fixes για ChromeOS. Τα Android όμως ακόμα περιμένουν ενημέρωση, που λογικά θα έρθει στην επόμενη ενημέρωση ασφαλείας των συσκευών. Βέβαια αρκετοί χρήστες χρησιμοποιούν συσκευές που δεν λαμβάνουν πλέον ενημερώσεις και αυτό ίσως είναι πρόβλημα.

Για αυτό καλό είναι να προσέχουμε τα δίκτυα στα οποία συνδεόμαστε και αν έχουμε συνδεθεί σε κάποιο δίκτυο στο παρελθόν και μας ζητήσει ξανά κωδικό, θα πρέπει να ελέγξουμε αν είναι όντως το δίκτυο που θέλουμε να συνδεθούμε ή κάποιος κλώνος τους.

Πηγή: https://techmaniacs.gr/
(Κώστας Παπαζαχαρίου, αναδημοσίευση 21/2/2024)