Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)


     
    Группа исследователей обнаружила серьезные недостатки в протоколе WPA2, обеспечивающем защиту всех современных Wi-Fi сетей. Злоумышленник, находящийся в зоне действия жертвы, может использовать эти недостатки, используя Key Reinstallation Attacks. Злоумышленники могут использовать этот новый метод атаки для чтения информации, которая ранее считалась зашифрованной.

    UPD: пост обновлен частичными подробностями атаки и списком обновлений вендоров.

    Уязвимости WPA2 позволяют обойти защиту и прослушивать Wi-Fi-трафик, передаваемый между точкой доступа и компьютером. Им присвоены следующие CVE идентификаторы:

    • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
    • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
    • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
    • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
    • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
    • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
    • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
    • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
    • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
    • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

    In a key reinstallation attack, the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying cryptographic handshake messages. When the victim reinstalls the key, associated parameters such as the incremental transmit packet number (i.e. nonce) and receive packet number (i.e. replay counter) are reset to their initial value. Essentially, to guarantee security, a key should only be installed and used once. Unfortunately, we found this is not guaranteed by the WPA2 protocol. By manipulating cryptographic handshakes, we can abuse this weakness in practice.

    В качестве Proof-of-Concept предоставлена видеозапись, на которой продемострирована атака на смартфон под управлением Android:



    Исследователи создали сайт, на котором в ближайшем времени обещают опубликовать более подробные детали атаки. Также создан репозиторий (пока пустующий).

    Некоторые производители уже осведомлены о проблеме:
    US-CERT has become aware of several key management vulnerabilities in the 4-way handshake of the Wi-Fi Protected Access II (WPA2) security protocol. The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected. The CERT/CC and the reporting researcher KU Leuven, will be publicly disclosing these vulnerabilities on 16 October 2017.

    Технические детали атаки частично раскрывает статья одного из исследователей: papers.mathyvanhoef.com/ccs2017.pdf

    Раскрытие информации об атаке запланировано на сегодня, 16 октября 2017 года. По мере поступления информации пост будет обновлен.

    UPD:
    Атака работает против частых и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все наши атаки, направленные на WPA2, используют новаторскую технику реинсталляции ключей (key reinstallation)», — пишут авторы KRACK.

    По сути, KRACK позволяет злоумышленнику осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. К тому же если сеть настроена на использование WPA-TKIP или GCMP, злоумышленник сможет не только прослушивать трафик WPA2, но и осуществлять инжекты пакетов в данные жертвы.

    Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. То есть в опасности абсолютно все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устойства.

    По словам исследователей, эксплоит не будет опубликован до момента, пока большинство вендоров не выпустит обновления.

    Проверить наличие/отсутсвие патча для конкретного вендора можно здесь, либо на домашней странице производителя.
    Pentestit 213,19
    Информационная безопасность
    Поделиться публикацией
    Комментарии 151
    • 0
      Добавьте пожалуйста ссылки на CVE. Я пониммаю, что сейчас там пусто, но будет возможность доступа к ним с этой страницы, а не с krackattacks.com
      • +1
        Добавил, пока все в статусе «Reserved».
      • +3
        Кстати микротики уже пропатчены
        • 0

          Судя по тексту, они просто написали реализацию как надо, а не абы как) поэтому большинство уязвитмостей не подвержены any way)

          • 0
            Ничего подобного:
            The device operating as client in key exchange is affected by this issue. This means that RouterOS in station modes and APs that establish WDS links with other APs are affected.

            We released fixed versions last week, so if you upgrade your devices routinely, no further action is required.

            Они просто накатили патчи от вендора (Atheros) и на прошлой неделе выпустили обновление.
            Никакой «магии» и «написано как надо».
            • 0
              Т.е. D-Link'у должен накатать патч от Marwell?

              Keenetic Start II
              Keenetic 4G III rev. B
              Keenetic Lite III rev. B
              Keenetic Giga III
              Keenetic Ultra II
              Keenetic Extra II
              Keenetic Air
              — уже включено в beta-версию, на остальные забили

              • 0
                дополню — с 2.10 beta пропатчено
                Keenetic Lite II
                Keenetic Lite III
                Keenetic Omni
                Keenetic Omni II
                Keenetic II
                Keenetic III
                Keenetic Giga II
                Keenetic Ultra
                Keenetic LTE
                Keenetic DSL
                Keenetic VOX

                а вот остальные в т.ч. Viva, Extra — по мнению кинетика уже древние (и это 600 Mhz MT7620A, 128 Mb RAM 16 Mb Flash, Gigabit Ethernet + у Extra есть 5 Ггц)
                • 0
                  Обновление 2.08 для практически всех 7620 уже вышло, не распространяйте дезинформацию.
                  И вообще, следите за новостями.
                  • 0
                    Ну я собственно и пытаюсь выяснить
                    2.08 вышло и у меня стоит. а пропатчено с 2.10 beta

                    Проблема в том, что для перечисленных в списке моделей есть 2.10 beta и даже 2.11 альфа, и они еще как-то рассматриваются на предмет багфиксов,
                    а вполне себе рабочие Viva и Extra — ОФИЦИАЛЬНО остановлены на 2.08 и надежды на фиксы весьма слабы.

                    Получается, вся надежда на 4pda? А за что простите кинетик деньги берет?
                    «А ну с этим не пошло, да и хрен с ним, давайте лучше новый проц залепим и цену в 2 раза поднимем»
              • 0
                Обычно вендоры уведомляются первыми и рассылают производителям железа новые поправленные версии драйверов.
                Если Marvell там не сделал, то они нехороший вендор.
                А если DLink после этого не стал сам делать патчи, то он — ну сами понимаете какой производитель.
              • +1
                Я правильно понимаю, что если микротик выступает в качестве точки доступа, то безопасно ею пользоваться даже без обновления?
              • 0
                It is important to note that the vulnerability is discovered in the protocol itself, so even a correct implementation is affected.

                Судя по их примечанию — уязвимость содержится в самом протоколе, т.е. даже 100% корректная реализация протокола уязвима
              • +6
                Насколько я вижу — там копипаста с хакера без изменений.
              • +5
                Две статьи, и ни в одной не сказано простыми словами, насколько это серьёзно: любой хакер, вошедший в зону приёма сигнала, может перехватывать и подменять все пакеты, или он должен быть в сети авторизован, получив ключ другим способом, или хотя бы подключён, взломав авторизацию?
                • +2
                  Достаточно быть в зоне стабильного сигнала.
                  • 0
                    В видео, однако, происходит переключение клиента на подставную сеть, что уже не совсем перехват трафика, или я чего-то не понял (что весьма вероятно, ибо я не очень понимаю английский со слуха).
                    Собственно, меня больше волнует безопасность периметра, нежели клиента.
                    • +8

                      Атака состоит в том, что можно сбросить IV (или nonce, в терминологии wifi) на клиенте. Таким образом можно заставить клиента использовать тот же самый keystream ещё раз. А потом ещё раз. И ещё. Дальше мы ксорим два потока данных с одинаковым keystream между собой и таким образом снимаем шифрование. Остаются просто расшифрованные данные, поксоренные между собой.

                      • 0
                        Чет толи лыжи не катят, то ли я чего-то не понимаю. Если вы ксорите два пакета с одинаковым keystream вы получаете xor из двух открытых пакетов. Т.е. чтобы прочитать некий пакет вы точно должны знать содержимое второго пакета, с которым у этого пакета одинаковый keystream. Трудновато однако.
                        • +1
                          Поскольку пакеты содержат не случайные данные, то дальше можно применять разные эвристики, чтобы получать открытый текст.
                          • 0

                            Enigma однако. Ищем хайль хитлер.

                            • 0
                              не, порно и котиков
                      • +5

                        И вот ещё прекрасное:


                        Our attack is especially catastrophic against version 2.4 and above of wpa_supplicant, a Wi-Fi client commonly used on Linux. Here, the client will install an all-zero encryption key instead of reinstalling the real key. This vulnerability appears to be caused by a remark in the Wi-Fi standard that suggests to clear the encryption key from memory once it has been installed for the first time. When the client now receives a retransmitted message 3 of the 4-way handshake, it will reinstall the now-cleared encryption key, effectively installing an all-zero key.

                        • 0
                          Неужели в основных дистрибутивах до сих пор не пофиксили?
                          • 0
                            да каккая то сказка, прям.
                            • 0
                              Вот исправления и тесты для этих дыр в репозитории wpa_supplicant: w1.fi/cgit/hostap/log
                              Некоторые дистрибутивы уже подхватили эти изменения.
                      • 0
                        Если используется AES — то прослушка всего трафика, если TKIP или GCMP — то еще и подмена.
                      • 0
                        Вот блин… Это ж сколько китайроутеров теперь снова будут уязвимы. А прошивки Падавана теперь так и останутся дырявыми? Он же, вроде, бросил этим заниматься? Я ими всё дома перепрошил.
                        • 0
                          последний раз он комитил 8 дней назад, с чего бы это он бросил?
                          • 0
                            Я, честно, не слежу сейчас за темой, но где-то, на Муське вроде, писали что он ушел в работать в Zyxel и больше не работает над другими прошивками. Обзор про какой то китайроутер был.
                            • +1
                              Форкните его прошивку и пропатчте сами — там несложно.
                              • +2
                                Какая Муська? Какие Падаваны? Пишите название фильма!
                            • +1

                              Достаточно патча на клиенте, необязательно роутер фиксить.


                              https://www.krackattacks.com/
                              Do we now need WPA3?


                              No, luckily implementations can be patched in a backwards-compatible manner. This means a patched client can still communicate with an unpatched access point, and vice versa. In other words, a patched client or access points sends exactly the same handshake messages as before, and at exactly the same moments in time. However, the security updates will assure a key is only installed once, preventing our attacks. So again, update all your devices once security updates are available.
                              • +3
                                То есть старые телефоны останутся без защиты. Шансов обновить роутер все же побольше.
                                • +3

                                  Ну да. Привет всем обладателям устройств Android :-)

                                  • 0
                                    Я вас умоляю. iPhone ниже 6 версии в большинстве тоже не обновляются хозяевами поскольку начинают тормозить.
                                    • 0
                                      Используйте правильный android: lineageos.org, мой телефон вышел со 2-м андроидом, сейчас там 7-й.
                                    • 0
                                      У меня примерно одинаково. :-Е Разве что телефон и роутер на альтернативные прошивки.
                                  • +1
                                    Оттуда же:
                                    What if there are no security updates for my router?
                                    Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates.
                                    и
                                    our attacks do not recover the password of the Wi-Fi network
                                    Т.е. не всё так страшно, если клиенты пропатчены.
                                    • 0
                                      А если обратная ситуация и пропатчен роутер, а не клиенты — клиенты все равно в опасности, насколько я понял?
                                      • +1
                                        Я тоже так понял.
                                        • 0
                                          Как можно было так понять? Если клиенты пропатчены, а роутер нет, то трафик в безопасности так? Тогда зачем нужен патч на роутеры если он без патча клиента не помогает?
                                          • +1
                                            Роутеры тоже могут выступать в роли клиентов (подключаться к другому роутеру не по кабелю, а через wifi).
                                    • 0
                                      Судя по форуму люди пишут что ядро уже патченое, еще аж числа 2016-01-03.
                                    • +1
                                      Ноутбукам без eth порта — отдельный привет.
                                      • 0
                                        Есть usb-адаптер.
                                        • +5
                                          У — удобство
                                          • 0
                                            Ноутбук для удобства вообще не предназначен.
                                            • +1
                                              Сказки
                                              • –1
                                                Они у каждого свои.
                                                • –1
                                                  Никто и не спорит
                                                  • 0
                                                    Так свои при себе и держите. Остальным зачем об этом знать?
                                        • 0

                                          Носимые устройства с нормальной поддержкой от производителя автоматом обновятся? Тот же вопрос про роутеры именитых брендов, надо ли их перезагружать и т.п.

                                          • 0
                                            Зависит от устройства. Телефоны как правило просто обновляются в штатном порядке (но если производитель уже положил болт на ваш девайс, то шансов на апдейт конечно мало).
                                            А касательно роутеров, я вообще никогда не видел для них «обновлений». Есть понятие прошить новую прошивку, и это все ручками и разумеется с перезагрузкой. И опять же если производитель болт не положит.
                                        • +2
                                          Ubiquiti выпустили обновление
                                          We've prepared firmware 3.9.3.7537. Please see below for the changelog and links to the firmware binaries.

                                          Firmware changes from 3.9.2:
                                          [ACIWPro] Enable DFS support.
                                          [UAP] Add more security details to scan info.
                                          [UAP] Security patch for the WPA2 vulnerability called KRACK (details HERE).*
                                          [UAP] Various backend fixes and/or improvements.
                                          [USXG] Fix fastpath tools.
                                          [HW] Improve error codes returned on firmware upgrade fail.
                                          • –4
                                            Вот одна из причин почему я теперь покупаю домой только Ubiquiti — это оперативность их обновлений. Да, дороже обычного SOHO, но и качество на порядки выше.
                                            • +2
                                              Выше написали, что обновление РОУТЕРА без обновления клиента — не помогает. Тоесть это обновление помогает в режиме клиент.
                                              • +1
                                                Я не только про этот случай говорю. До этого уже были shell shock, heartbleed и прочие.
                                                • 0
                                                  И что обычному роутеру сделают shell shock и heartbleed?
                                                • 0
                                                  Чем вы читаете??? Не вводите в заблуждение народ! Написано же английским по белому: «Достаточно пропатчить любую из сторон коммуникации, хоть клиент, хоть роутер
                                                  • 0
                                                    А вы чем?

                                                    Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!
                                                    • 0
                                                      Блин, сори, вчера этого не было.
                                                      Интересно, какие из атак возможны при непропатченом клиенте и насколько они вероятны…
                                                      Кто-то знает?
                                                • +1
                                                  Без контроллера девайсы эти малоинтересны. А поднимать дома виртуалку с контроллером — это оверкилл.
                                                  ЗЫ У меня на работе 12 точек этой компании используется, которые и я в том числе обслуживаю, но домой такую — не хочу.
                                                  • 0
                                                    EdgeRouterX и UniFi, красота. Роутер гигабит маршрутизирует без загрузки проца, что еще дома надо.
                                                    • 0
                                                      90% людей дома устраивает одно устройство — AirRouter уж проще взять.
                                                      • 0
                                                        Оно 2,4ггц и 100мбит. Устарело лет на 5.
                                                        • +1
                                                          У меня Cisco LinkSys WRT160NL дома — устраивает своей работой, хотя ему лет 10 уже.
                                                    • 0
                                                      Домой есть AmpliFi (для роскоши) и AirCube (для удобства). У меня AmpliFi, настроек маловато, но работает стабильно и прошивки прилетают раз в месяц.
                                                • 0
                                                  Гайд будет?
                                                  • +1
                                                    В LEDE бекпортировали исправления. Пока только в транке, обновлений к стабильному выпуску не выходило.
                                                    • 0
                                                      Не в курсе — стоит ли ждать, что стабильную ветку обновят? Транк накатывать как-то не очень хочется
                                                      • 0
                                                        Могут обновить и один конкретный пакет. Поэтому, периодически выполняйте

                                                        opkg update
                                                        opkg list-upgradable


                                                        и смотрите, не прилетит ли обновление hostapd
                                                        • 0
                                                          Обновления hostapd будет достаточно? Превосходно! Спасибо
                                                          • 0
                                                            Обновляемся, доступны обновления hostapd и wpad-mini.
                                                            • 0
                                                              Обновился! Благодарю!)
                                                        • 0
                                                          Только вот пропатченная точка доступа, увы, не защищает непропатченных клиентов. Клиента (например, смартфон с Android 6/7 без соответствующих исправлений) всё равно можно заставить использовать пустой ключ шифрования.
                                                      • 0
                                                        Стоп. Так проблема актуальна только при использовании быстрого роуминга 802.11r?
                                                        • 0
                                                          802.11r — только один из векторов. Читайте внимательнее (или первоисточник, если тут невнятно).
                                                          • 0
                                                            FastTransition (802.11R) даёт возможность расшифровать трафик, идущий от точки до клиента.
                                                            Режим клиента (apcli) даёт возможность расшифровать трафик от клиента до точки.

                                                            Таким образом, 802.11r даёт возможность вообще всё расшифровать, а без него можно видеть только то, что идёт от уязвимых клиентов.

                                                            Ещё сама точка доступа может выступать клиентом или репетиром (повторителем). Тогда можно расшифровать трафик, который идёт от репетира до родительского устройства.
                                                          • 0
                                                            Keenetic'и в официальной beta и в draft поправлены еще неделю назад.
                                                            • 0
                                                              Как я правильно понял, на Zyxel Keenetic вообще нет исправлений и придётся оставаться с «дыркой» в безопасности?
                                                              • 0
                                                                Используете режим WISP или как repeater/adapter? Если нет, то вам ничего не грозит.
                                                                • 0

                                                                  Уязвимость касается режима работы в роли клиента Wi-Fi. Я думаю, для семейства кинетиков последует фикс, но позже. Все же некоторые модели работают как клиенты Wi-Fi.

                                                                  • 0
                                                                    Именно так. Zyxel почему то решили, что поддерживать это устройство не нужно. Новые модели, видимо, продать очень хочется. У меня вообще к безопасности их устройств большие вопросы, начиная с отсутствия https в админке и дальше по списку.
                                                                • 0
                                                                  Что делать простому смертному? Может ли неизвестный злоумышленник что-то сделать с ноутбуком моей мамы, и если да, то что именно?
                                                                  • +1
                                                                    Прочитать ее трафик. Если она использует HTTPS для банков, всяких госуслуг и подобных вещей, то ничего страшного.
                                                                    • 0
                                                                      На видео как раз то https не помогает.
                                                                      Т.е. внимательному он помог бы, но обычному человеку — вряд ли.

                                                                      www.krackattacks.com
                                                                      Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple's iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.
                                                                      • –1
                                                                        Это сайты без HSTS и preload. В 2017 году такие на свалке истории.
                                                                        • +1
                                                                          В 2017 году такие на свалке истории.

                                                                          Лихо вы отправили миллиарды сайтов на свалку. В списке preload сейчас около 35к сайтов.
                                                                          Интересно, что вы забыли на такой «свалке», как хабрахабр?
                                                                          • 0
                                                                            Хабр не читаю регулярно уже достаточно давно, только если кидают ссылку на что-то важное как эта статья. А так да, https параллельно с http как ворота в чистом поле.
                                                                    • +1
                                                                      Неизвестный может сделать то же самое, что он сделал бы, будь ноутбук вашей мамы подключён к незащищённому публичному WiFi.

                                                                      Кроме, как выше сказали, «надеяться на HTTPS», можно ещё посоветовать VPN.

                                                                      А ещё можно установить обновления операционной системы на ноутбуке. В дистрибутивах Linux это уже исправляют, в Windows тоже исправят, наверняка. Если операционная система пропатчена, а точка доступа, к которой подключён ноутбук, не работает в режиме репетира (повторителя), то никакой опасности нет.
                                                                  • 0
                                                                    А если самопальный роутер что патчить? Hostapd, atheros driver или card firmware?
                                                                    • 0
                                                                      Насколько я понимаю, достаточно пропатчить hostapd и wpa_supplicant.
                                                                      Мне в 16.04 LTS уже прилетело.
                                                                      • 0

                                                                        Я тоже устал от китайских роутеров и воткнул карточку Atheros в дешевый комп на 16.04 LTS.

                                                                        • 0
                                                                          я чисто из экономических побуждений — в то время роутер с вафлей и VLAN на гигабитку плюс NAS с нормальными скоростями для торрентокачалки стоили куда дороже самосбора.
                                                                    • 0
                                                                      Позволяет-ли данная уязвимость скомпрометировать ключи WPA?
                                                                      Распространяется только на WPA2 или WPA2-enterprise тоже под угрозой?
                                                                    • 0
                                                                      «Эксплоит» уже есть в сети?
                                                                    • 0
                                                                      я так понимаю что при наличии шифрования на других уровнях (https, ipsec) максимум что получит злоумышленник — кадры/пакеты в стиле абстракционизм?
                                                                      • 0
                                                                        всё что внутри зашифровано, таким и останется
                                                                        • +1
                                                                          интересно почему не с этого начинается текст статьи — что под ударом в основном окажутся корпоративные сети с местными критическими ресурсами (вроде почтовика) если доступ к ним идёт по нешифрованному протоколу, обычные домашние пользователи и те кто пользуется внешними сервисами по сути никак не пострадают даже если ничего не предпримут
                                                                        • 0
                                                                          можно хэндшейк поймать…
                                                                          • 0
                                                                            чтобы влезть в https хендшейк надо самому иметь сертификат, подписанный корневым сертификатом, которому доверяет жертва, что весьма маловероятно.
                                                                            • 0
                                                                              О том, что клиент начихал на безопасность и готов поделиться паролями, сосед вам, конечно же, не расскажет.
                                                                              • 0

                                                                                Ну нелзя же вбивать в iot решето учетку к которой привязаны важные данные. Помница была статья про проверку ос самсунга, там как будто програмистов на си набирали на конференции по джаваскрипт.

                                                                          • 0
                                                                            Не совсем.
                                                                            Если надеяться на эти протоколы. — то не стоит.
                                                                            Поскольку есть техники которые подменяют сертификаты. и вы не знаете, что ваше соеденение не шифруется должным образом (я говорю про https).

                                                                            Но если эти протоколы не будут «подорваны», то вы в частичной безопасности :)
                                                                            • 0
                                                                              в таком случае не стоит надеяться и на WPA2, поскольку есть другие способы осуществить атаку на беспроводные сети, все таки из WPA и https я бы больше надеялся на последний
                                                                              • +1
                                                                                Чтобы подменить сертификат, надо полноценно влезть в середину. Здесь же можно только перехватывать и расшифровывать пакеты (у кого TKIP, тот ССЗБ).
                                                                                • 0
                                                                                  А где можно почитать про подмену? Как-то это подрывает немного веру в https.
                                                                                  • 0
                                                                                    Ну, 0ri0n сгущает краски. Браузер как минимум выдаст предупреждение, а то и вовсе заблокирует такую страницу. Гуглите по HTTPS MITM.
                                                                                    • 0
                                                                                      Браузеры — да. А вот приложения проверяют сертификаты не всегда, увы.
                                                                              • 0
                                                                                [deleted (коменты не читай/быстрей вопрос задавай)]
                                                                                • 0
                                                                                  Проблем не будет у тех, у кого и раньше не было доверия к «воздуху».
                                                                                  Собственно, как и к провайдерскому проводу.
                                                                                  • 0
                                                                                    Одно достоинство — это хорошая «проверка на вшивость» всяких «премиум-брендов», вроде Apple и Samsung — если они не выпустят апдейты для вообще своих старых устройств, что имеют поддержку WPA2, то за них не стоит переплачивать.
                                                                                    • 0
                                                                                      А какие бренды выпустят прошивки для своих старых устройств? — ответ — практически никто не выпустит.
                                                                                      • 0
                                                                                        Любые, которые хотят сохранить клиентов, которые готовы переплачивать за их продукцию, а не за китаефоны. В конце концов, там нужно исправить только одну библиотеку — нет больших дополнительных расходов из-за того, что её нужно ставить не на десяток моделей, а на тысячу.
                                                                                        Вообще, интереснее всего ситуация как раз с теми китаефонами (и их «русскими» клонами), что сейчас в продаже — ведь они обычно вообще не обновляются, а тут этот вопиющий баг в безопасности будет мешать продать их…
                                                                                        • –1
                                                                                          Вот увидите — ни Apple, ни Samsung, ни HTC, ни Google — не выпустят обновлений на старые девайсы — а-ля iPhone 4, Samsung S3 — флагманский телефон в свое время, ни на Nexus 1 ничего не будет.

                                                                                          И плевать они хотели на Ваше мнение, равно как и на мое и миллиона других людей — они даже знать не будут про эту уязвимость. И ничего не изменится — политика простая — покупайте новый девайс — поддержка старых 1-2 года и до свидания.
                                                                                          И ничего с этим сделать практически невозможно — правительство имеет свою долю в таких махинациях.
                                                                                          • +1
                                                                                            iPhone 4 выпущен больше 7 лет назад и не производится уже 4 года.
                                                                                            Сколько их в мире осталось работающих? Кого из тех, кто ими ещё вдруг пользуется, волнует эта уязвимость?

                                                                                            А вот iPhone 5S, представленный 4 года назад (и год уже не производящийся), поддерживается и будет обновлён вместе со всеми остальными живыми устройствами.
                                                                                            • 0
                                                                                              Отвечайте товарищу выше, ведь это он считает, что производитель должен старые аппараты поддерживать.

                                                                                              А вот Time capsule похоже кинут с обновлениями, хотя их совсем недавно перестали производить.
                                                                                              • 0
                                                                                                7.7.8 приехала в начала этого года. 7.6.8 в декабре прошлого. Не исключаю, что 7.8.8 приедет в начале ноября.
                                                                                              • –1

                                                                                                Только вот давняя тенденция — плюс к номеру версии = плюс к тормозам.
                                                                                                Новые прошивки на старых айфонах будто специально содержат дополнительные задержки для старых устройств

                                                                                                • 0
                                                                                                  Так где патчи от Apple -то? Microsoft еще две назад выпустила обновления, а Apple до сих пор не может.
                                                                                                  • 0
                                                                                                    Где-то в пути к iOS 11.1
                                                                                                    Вероятно, не считают критической уязвимостью, что печально, конечно.
                                                                                                    • 0
                                                                                                      Интересно, что старые версии macOS — 10.7 например, которые работают на старых маках будут обновлены, или так и кинет их Apple — ноуты те не такие уж и совсем плохие — Core2Duo и 4 гига оперативки вполне годны для браузинга, чтения почты и использования мессенджеров, но mac OS на них 10.7 остановилась — есть парочка таких ноутов на работе.
                                                                                                      • 0
                                                                                                        Я думаю, вероятность этого где-то рядом с обновлением Apple Newton.
                                                                                                        Но у вас всегда есть вариант поставить туда Windows XP… ах, да, она же тоже больше не обновляется.
                                                                                                        • 0
                                                                                                          На ноут с Core2Duo я мог поставить Windows 7, которая обновляется и получить это обновление 2 недели назад.
                                                                                                          • 0
                                                                                                            Значит так и стоит поступить! Чего подвергать себя опасности.
                                                                                                • –1
                                                                                                  Решение — пролоббировать законы написать петиции, требующие от законодательных органов развитых стран принять закон, предписываюший передачу любого программного обеспечения в публичный домен, если для него в течение месяца не вышел патч, закрывающий известную вердору дыру в безопасности. Тогда патчи, я думаю, появятся подо всё, включая оригинальную нокию 3310.
                                                                                                  • 0
                                                                                                    Это — экономически нецелесообразно скажут, да и не удастся продавить такой закон.
                                                                                          • 0
                                                                                            Кто знает пропатчена ли прошивка OpenWRT?
                                                                                            • 0
                                                                                              Похоже, что нет. Да и если пропатчат, то релизов ждать ещё очень не скоро, а пользоваться транком…
                                                                                              • 0
                                                                                                кажется зеркало на гитхабе здесь
                                                                                                • 0
                                                                                                  Точно, там старое зеркало.
                                                                                                  Тогда да, обновили, но проблему редкого выпуска релизов это, увы, не снимает.

                                                                                                  В LEDE (в стабильный выпуск) уже прилетели обновления wpad-mini и hostapd-common.

                                                                                                  В DD-WRT, говорят, тоже исправили (в исходниках, по крайней мере).
                                                                                            • 0
                                                                                              • +1
                                                                                                У Dlink видимо все как обычно. Не дождешься патчей :)
                                                                                                • 0
                                                                                                  Что делать со всякими IOT устройствами? На ESP8266 и подобном?
                                                                                                  • 0
                                                                                                    Группа исследователей

                                                                                                    Вообще-то один — Mathy Vanhoef


                                                                                                    upd. fix typo

                                                                                                    • 0
                                                                                                      Отличные новости для пользователей LEDE:

                                                                                                      Guys, the latest update (package release 6) of the hostapd/wpad packages in LEDE 17.01 is quite a big deal. They include a new feature that will allow to mitigate the attack from the router/access point side even if your clients are not patched!

                                                                                                      The new configuration option is wpa_disable_eapol_key_retries which is by default disabled, because it might cause compatibility issues with clients. I’d assume that issues are more likely in crowded wireless areas where you see package losses often. But I am testing this new feature now, and so far my clients haven’t had any issues.


                                                                                                      Проще говоря, включив указанную настройку в конфиге, можно защитить уязвимых клиентов.
                                                                                                      • 0

                                                                                                        Возможна ли такая атака, если заходить в сеть через исправленную Винду (выпустили патч 10 октября, https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/313ae481-3088-e711-80e2-000d3a32fc99) ?

                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.