Uuendus: Wpa taotlejat (meetodit, mida Linuxis Wi-Fi käepigistuse seadistamiseks kasutatakse) on uuendatud ja on juba saadaval. Google on selle paranduse juurutanud ja 6. novembri 2017. aasta turvavärskendus sisaldab seda. Google Wifi installib värskenduse kohe, kui see on saadaval.
Algne artikkel järgneb.
Juba aastaid oleme kõik oma WiFi-võrkude turvalisuse tagamiseks sõltunud WPA2 (Wi-Fi Protected Access) protokollist. See kõik saab täna otsa.
Turvalisuse uurija Mathy Vanhoef paljastas, mida ta on sildistanud käepigistuse haavatavuse vastu rünnakuks KRACK WPA2 protokolli, mida kasutate kõige tõenäolisemalt oma kodus oleva WiFi kaitsmiseks ja miljonid väikeettevõtted kogu maailmas, ka.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Uuendus: Google'i avaldus antud Äärel ütleb, et kuigi see mõjutab kõiki WiFi-toega seadmeid, kasutavad Android-telefonid seda vahukomm (Android 6.0) või uuem versioon kujutab endast erilist ohtu ja on haavatav selle ärakasutamise variandi suhtes, mis võib liiklusega manipuleerida. Vanemal püsivara mudelid on vastuvõtlikud muul viisil, kuid liikluse sissepritsimine on tõsine probleem. Google'ilt oodatakse lähitulevikus parandust.
Vanhoef selgitas Dallases ACMi arvuti- ja sideturbe konverentsil esinedes, et see exploit võib lubada pakettide nuuskimist, ühenduse kaaperdamist, pahavara süstimist ja isegi protokolli dekrüpteerimist ise. Haavatavus on avaldatud inimestele, kes peavad sedasorti asju varakult teadma parandus ja USA-CERT (Ameerika Ühendriikide arvuti hädaolukordadeks valmisoleku meeskond) on välja andnud selle ettevalmistatud bülletääni:
US-CERT on saanud teada mitmest võtmehalduse haavatavusest Wi-Fi Protected Access II (WPA2) turvaprotokolli neljasuunalises käepigistuses. Nende haavatavuste kasutamise tagajärjed on dekrüpteerimine, pakettide taasesitus, TCP-ühenduse kaaperdamine, HTTP-sisu süstimine ja muud. Pange tähele, et protokollitaseme probleemidena mõjutab see enamikku või kõiki standardi õigeid rakendusi. CERT / CC ja aruandlusteadlane KU Leuven avalikustavad need haavatavused 16. oktoobril 2017.
Haavatavusest teavitatud teadlase sõnul töötab see ära neljasuunalise käepigistuse, mida kasutatakse liikluse krüptimiseks võtme loomiseks. Kolmanda etapi ajal saab võtit mitu korda uuesti saata. Kui see on teatud viisil pahaks pandud, saab krüptograafilist nonce'i taaskasutada viisil, mis õõnestab täielikult krüptimist.
Kuidas end ohutult hoida?
Kui aus olla, siis järgmise paari päeva jooksul pole teile saadaval palju avalikke võimalusi. Me ei ütle teile, kuidas see töötab või kust leida lisateavet selle kohta, kuidas rünnak täpselt toimib. Kuid me võime teile öelda, mida saate (ja mida peaksite tegema), et võimalikult turvaline olla.
- Vältige iga hinna eest avalikku WiFi-ühendust. See hõlmab Google'i kaitstud WiFi-levialasid, kuni Google ütleb teisiti. Kui teie operaator sunnib teie telefoni levialas WiFi-ühenduse loomiseks, külastage aadressi foorum et teie telefon saaks näha, kas selle vältimiseks on lahendus.
- Ühendage ainult turvatud teenustega. Veebilehed, mis kasutavad HTTPS-i või muud turvalist ühendust, sisaldavad URL-is HTTPS-i. Peaksite võtma ühendust mis tahes ettevõttega, kelle teenuseid te kasutate, ja küsima, kas ühendus on TLS 1.2 abil turvaline ja kui on, on teie ühendus selle teenusega praegu turvaline.
- Kui teil on tasuline VPN-teenus, mida usaldate, peaksite ühenduse lubama täistööajaga kuni uue teateni. Pidage vastu kiusatusele kiirustada ja registreeruge kõigile tasuta VPN teenust, kuni saate teada, kas need on kontrollitud, ja hoiate teie andmeid turvalisena. Enamik seda ei tee.
- Kasutage traadiga võrku, kui ruuteril ja arvutil on koht Etherneti kaabli ühendamiseks. See ärakasutamine mõjutab ainult 802.11 liiklust Wi-Fi ruuteri ja ühendatud seadme vahel. Ethernet-kaablid on suhteliselt odavad ja üle vaiba paisatud silmaring on seda väärt. Otsige Cat6 või Cat5e spec-kaablit ja pistikupessa ühendamist ei tohiks vaja olla.
- Kui kasutate a Chromebook või MacBook, see USB Etherneti adapter on plug-and-play.
- Lõdvestu.
Mis võib juhtuda, kui olen rünnatud võrgus?
See häkkimine ei saa varastada teie pangateavet ega Google'i parooli (ega mis tahes andmeid õigesti kaitstud ühenduse kohta, mis kasutab otsast-lõpuni krüpteerimist). Ehkki sissetungija suudab teie saadetud ja vastuvõetud andmeid jäädvustada, ei saa keegi neid kasutada ega isegi lugeda. Te ei saa seda isegi lugeda, kui te ei luba oma telefonil ega arvutil seda kõigepealt dekrüpteerida ega lahti krüptida.
Ründaja võib osata teha näiteks WiFi-võrgus liikluse ümbersuunamist või isegi tegeliku asemel saata võltsandmeid. See tähendab midagi kahjutut, nagu tuhat eksemplari võrratut printimist võrguprinterile või midagi ohtlikku, näiteks pahavara saatmine õigustatud teabetaotluse vastusena või a faili. Parim viis ennast kaitsta on see, kui te ei kasuta WiFi-ühendust üldse enne, kui olete teisiti suunanud.
uhhh jama, see on halb jah pic.twitter.com/iJdsvP08D7
- ⚡️ Owen Williams (@ow) 16. oktoober 2017
Telefonides, kus töötab Android 6.0 Marshmallow ja uuem versioon, võib KRACK-i haavatavus sundida WiFi-ühendust looma absurdselt hõlpsasti krakitatava krüptovõtme 00: 00: 00: 00: 00. Midagi nii lihtsat on väljastpoolt tulijal lihtne lugeda kogu liiklust, mis kliendile ja kliendilt tuleb, näiteks nutitelefon või sülearvuti.
Aga kui see liiklus on kodeeritud turvaliste HTTPS- ja TLS-protokollide abil (ja enamik veebiliiklust peaks seda tegema) nendel päevadel), on nende andmed krüpteeritud otsast lõpuni ja isegi kui neid kinni peetakse, ei loetav.
Kas teie ruuter on parandatud KRACKi haavatavuse parandamiseks?
Väidetavalt on Ubiquitil juba plaaster valmis nende seadmete jaoks kasutusele võtma ja kui see osutub tõeks, peaksime nägema sama ka sellistelt ettevõtetelt Google või Apple väga varsti. Teised, vähem turvateadlikud ettevõtted võivad võtta kauem aega ja paljud ruuterid ei näe plaastrit kunagi. Mõni ruuterit tootev ettevõte sarnaneb mõnega Android-telefoni tootvale ettevõttele: igasugune soov toodet toetada lakkab, kui teie raha jõuab nende panka.
Kas see on tõesti oluline?
See pole juhtum, kus peaksite tundma end immuunsena, kuna teie andmed pole piisavalt väärtuslikud. Enamik seda ärakasutamist kasutavatest rünnakutest on oportunistlikud. Teie hoones elavad lapsed, varjulised tegelased, kes sõidavad ümbruskonda otsima WiFi AP-sid ja üldisi pahanduste tegijaid skannivad juba enda ümber WiFi-võrke.
WPA2-l on olnud tänaseni pikk ja viljakas elu koos avaliku ekspluateerimisega. Loodame, et parandus või mis saab edasi, saab nautida sama. Ole turvaline!
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate osta iga hinnaga!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja sobivad lihtsalt taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mis on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Kinnitage oma kodu nende SmartThingsi uksekellade ja lukkude abil.
Üks parimatest asjadest SmartThingsis on see, et saate oma süsteemis kasutada hulgaliselt muid kolmanda osapoole seadmeid, kaasa arvatud uksekellad ja lukud. Kuna neil kõigil on sisuliselt sama SmartThingsi tugi, oleme keskendunud sellele, millistel seadmetel on parimad tehnilised andmed ja nipid, et õigustada nende lisamist teie SmartThingsi arsenali.