Ernstig beveiligingslek ontdekt in WPA2 beveiliging voor wifi
De veel gebruikte beveiliging voor wifinetwerken Wi-Fi Protected Access II (WPA2) blijkt ernstige beveiligingsproblemen te bevatten. Vermoedelijk zijn nagenoeg alle wifi-routers en alle apparaten die hiermee verbinding maken door het probleem getroffen. Dit is wat u moet weten over dit nieuwe beveiligingsprobleem.
Het lek wordt ook wel Key Reinstallation Attack genoemd en is ondekt door werk van Mathy Vanhoef, postdoctoraatsonderzoeker aan de KU Leuven. De volledige paper van zijn onderzoek kan je hier terugvinden. De meer algemene uitleg doet hij op zijn website Krackattacks.com. Hij zal zelf zijn bevindingen ook toelichten op de Computer and Communications Security conferentie en op Black Hat Europe.
Welke wifi-netwerken of toestellen zijn kwetsbaar?
Nagenoeg alle wifi-netwerken en apparaten zijn door het ontdekte probleem kwetsbaar voor cyberaanvallen. De kwetsbaarheid slaat op WPA2-versleuteling, die wordt gebruikt in elk modern wifi-toestel van laptops, smartphones, tablets, je netwerk thuis of op het werk en waarschijnlijk ook de publieke hotspots op café of op de bus. Dit zowel voor toestellen op Linux, Windows, Android, iOS/OS X en meer specifieke routersoftware.
Het probleem zit in de WPA2-standaard zelf. Ook WPA1 en de meer specifieke WPA-TKIP, AES-CCMP en GCMP zijn vatbaar voor de aanval. Dat wil voor alle duidelijkheid niet stellen dat WEP, een oudere beveiligingsstandaard, nu beter is. Die standaard is volledig achterhaald en makkelijk te kraken. De fout in WPA2 valt wel op te lossen.
Hoe los ik het op?
Vanhoef geeft op zijn site aan dat het mogelijk is om toestellen te patchen tegen een Key Reinstallation Attack. Het is dus wachten tot de verschillende leveranciers met updates komen. Voor uw Android, iPhone of Windows-toestel zal dat relatief automatisch gebeuren. Ook kunnen internetproviders uw router in principe op afstand patchen. Wanneer dit zal gebeuren is echter nog niet duidelijk.
Moeilijker ligt het bij hardware die geen ondersteuning meer krijgt, bijvoorbeeld een oude router op uw netwerk. Vanhoef raadt aan om de leveranciers van die toestellen te contacteren (of het online op te zoeken) om te kijken of er een patch beschikbaar is.
Mijn router of mijn internettoestel?
De aanval misbruikt clients (toestellen) en geen access points (routers). Het kan dus zijn dat je router geen patch nodig heeft. Het is dus vooral van belang dat je smartphone, pc, slimme speaker of andere apparatuur die via wifi verbinding maakt met het netwerk een patch krijgt.
Het goede nieuws is dat Vanhoef zelf al enkele vendors gecontacteerd heeft sinds 14 juli en ook het CERT heeft sinds 28 augustus producenten van netwerkapparatuur gewaarschuwd. Zij zijn dus al even op de hoogte en mogelijk al bezig met het ontwikkelen van een patch.
Hoe werkt de Key Reinstallation Attack?
De truc zit hem in de handshake in het WPA2-protocol tussen je toestel en de router: die moet bevestigen dat beide partijen het juiste wachtwoord hebben. Maar daarbij wordt er ook een nieuwe encryptiesleutel aangevraagd om al het internetverkeer vanaf dat toestel te versleutelen.
Bij de aanval wordt op het aangevallen toestel een al gebruikte encryptiesleutel ingezet. In sommige gevallen op Linux en Android kan het zelfs om een sleutel met enkel nullen gaan. Indien dit lukt kan het dataverkeer worden onderschept, inclusief alle wachtwoorden, kredietkaartgegevens en andere data die je verstuurt vanaf dat moment.
Vanhoef demonstreert zijn hack in een video. Hier kloont hij een netwerk en toont hij hoe een Androidtoestel wordt gedwongen om dat netwerk te gebruiken om zo als aanvaller tussen het toestel en de router te zitten en zo het netwerkverkeer af te luisteren.
Kan iedereen mijn netwerk aanvallen?
Aanvallers moeten zich in principe binnen het bereik van je wifi-netwerk bevinden om het netwerk te kunnen aanvallen. Het is dus niet zo dat iemand via internet op grote afstand je netwerkverkeer op deze manier kan onderscheppen.
Het is niet bekend of het probleem al in praktijk is misbruikt. Wie echter geen vertrouwen meer heeft in WPA2 kan in afwachting van een patch nog steeds verbinding maken via een ethernetkabel. Voor smartphones kan je terugvallen op je 4G-netwerk. Let wel op: indien dit netwerk wordt gedeeld via een mobiele hotspot, wordt hiervoor gebruik gemaakt van een wifi-netwerk. Het gebruik van een mobiele hotspot is dus niet veilig.
In samenwerking met Datanews
