Bő egy évvel ezelőtt, 2018 elején fontos bejelentést tett az eszközminősítéssel foglalkozó iparági szövetség, a Wi-Fi Alliance: elkészítették a WPA3-as biztonsági protokollt, amely a korábbinál jóval biztonságosabbá tette a wifis netezést. A váltásra szükség is volt, az elődnek számító WPA2-t ugyanis bő 15 évvel ezelőtt készítették el, ráadásul 2017 októberében derült fény arra a biztonsági hibára, ami minden internetezőt érint.

Csakhogy az ArsTechnika által idézett szakértők szerint a szuperbiztonságosnak mondott WPA3-mal van egy apró probléma:

tele van biztonsági résekkel és hibákkal.

Egész pontosan olyan tervezési hibákat találtak benne a szakemberek, ami miatt ugyanazokra a támadásokkal szemben hatástalan a védelme, mint ami a WPA2-t is veszélyeztette.

Pixabay / geralt

A Wi-Fi Alliance korábbi bejelentése szerint a WPA3 biztonságát a Dragonfly nevű titkosítási folyamat adja. Ez javította az eddigi WPA2-es titkosítást, ami érvényesíti a hálózathoz csatlakozni kívánt eszközt. Csakhogy ebben az adatfolyamban ott van a hálózati jelszó hashelt változata, így ha a hacker egy mobillal vagy laptoppal a hálózat közelében van, simán feltörheti a jelszót, ha az rövid vagy nem elég erős.

A Dragnofly ezt nehezítette meg azzal, hogy a fenti metódust a Simultaneous Authentication of Equals (SAE) nevű fejlesztésre cserélte. Ennek lényege tulajdonképpen az, hogy erősebb jelszó alapú hitelesítést nyújt, és megnehezíti a hackerek dolgát abban, hogy megtippeléssel mondják meg, mi a jelszó. De a SAE akkor is igyekszik védeni az adatokat, ha a hackerek már megszerezték a hálózati jelszót.

Csakhogy az elméletileg fejlettebb védelem a jelek szerint nem sokat ér az egyszerűbb támadások esetén. Az egyik problémát az úgynevezett "átmeneti mód" jelenti, ami lehetővé teszi, hogy a WPA3-as szabvánnyal ellátott eszközök a WPA2-es szabványú készülékekkel is működjenek.

Pixabay / markusspiske

A hackerek emiatt olyan hálózatot hozhatnak létre, ami rákényszeríti a WPA3-at a WPA2-es működésre, így a jelszót ugyanúgy meg tudják szerezi, ahogy korábban. A kiberbiztonsági kutatók még a Galaxy S10 esetében is ki tudták kényszeríteni a WPA2-es működést. Mathy Vanhoef kiberbiztonsági szakértő szerint mindez a következő néhány évben biztosan komoly problémát jelent majd, hiszen addig a WPA3-as eszköz is "átmeneti módban" kell hogy működjön.

[Wifit használ otthon? Mutatunk egy trükköt, amiért nagyon hálás lesz]

Egy másik sebezhetőség magában foglalja az úgynevezett "oldalszivárgást". A hacker ilyenkor figyelemmel kísérheti a készülék gyorsítótár-hozzáférési mintáit, majd ezt használhatja fel a jelszóval kapcsolatos információk összegyűjtésére. Vagyis ha a hacker hozzáfér egy alkalmazáshoz a mobilon, vagy a JavaScript kódhoz a bönégszőben, már az elég, hogy összrakja belőle a jelszót. Sőt, az is elég, ha "megnézik", mennyi ideig tart a jelszó kódolása.

Úgy gondoljuk, a WPA3-as szabvány egyáltalán nem olyan biztonságos, mint amilyennek korábban állították – mondják a szakemberek. Ugyanakkor azt is hozzátették, a WPA2-höz képest még így is fejlettebb lett a wifis védelem. A Wi-Fi Alliance részéről úgy nyilatkoztak, a WPA3 egyelőre még mindig fejlesztés alatt áll, és a gyártók már megkezdték a biztonsági frissítést az eszközeiken.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.