La comunità della sicurezza globale è scossa dalla scoperta di un difetto devastante nel protocollo di crittografia wireless WPA2, che colpisce praticamente ogni moderna connessione Wi-Fi.
Scoperto da Mathy Vanhoef, ricercatrice di KU Leuven, il difetto viene chiamato "KRACK" (abbreviazione di attacco di reinstallazione della chiave) e comporta lo sfruttamento di un progetto difetto nell'handshake a quattro vie utilizzato dal protocollo wireless WPA2, insieme a numerosi altri crittografici protocolli.
"Ogni dispositivo Wi-Fi è vulnerabile a qualche variante dei nostri attacchi", ha avvertito Vanhoef. Può essere sfruttato per accedere praticamente a qualsiasi informazione trasmessa tramite una connessione Wi-Fi, incluse credenziali di accesso, foto, informazioni finanziarie e altro.
Come funziona KRACK?
Quando un dispositivo client (come un laptop o uno smartphone) desidera connettersi a una rete, l'handshake a quattro vie determina che sia il dispositivo client che il punto di accesso disporre delle credenziali di autenticazione corrette e genera una chiave di crittografia univoca che verrà utilizzata per crittografare tutto il traffico scambiato nell'ambito di tale connessione.
Questa chiave viene installata dopo la terza parte dell'handshake a quattro vie, ma punti di accesso e client consentire a questo terzo messaggio di essere inviato e ricevuto più volte, nel caso in cui la prima istanza venga eliminata o perduto. Rilevando e riproducendo la terza parte dell'handshake a quattro vie, gli aggressori possono forzare la reinstallazione della chiave di crittografia, consentendo loro di accedere ai pacchetti trasmessi.
Sebbene Vanhoef suggerisca che l'attacco abbia il maggior impatto contro la stretta di mano a quattro vie, lo stesso l'exploit può anche essere impiegato contro le strette di mano di Group Key, PeerKey, TDLS e Fast BSS Transition come BENE.
Cosa può fare KRACK?
Le azioni che l'aggressore può eseguire dipendono dal sottoinsieme dello standard di crittografia WPA2 in uso. Se la vittima utilizza la crittografia AES-CCMP, i pacchetti trasmessi dalla vittima possono essere decrittografati e letti, consentendo il furto di informazioni sensibili. Vanhoef avverte che "si dovrebbe presumere che qualsiasi pacchetto possa essere decifrato".
Ciò consente anche la decrittazione dei pacchetti TCP SYN, che possono quindi essere utilizzati per dirottare le connessioni TCP ed eseguire attacchi di iniezione HTTP come infettare il bersaglio con malware.
Se il target utilizza WPA-TKIP o GCMP (noto anche come WiGig), il potenziale danno è ancora peggiore. Oltre alla decrittografia, la reinstallazione della chiave consente agli hacker non solo di decrittografare e leggere i pacchetti, ma anche di falsificarli e inserirli nel traffico di un utente. WiGig è particolarmente vulnerabile a questo.
Quali dispositivi sono interessati da KRACK?
Attaccare l'handshake a quattro vie consente agli hacker di decrittografare i pacchetti inviati dal client al punto di accesso, mentre attaccare l'handshake Fast BSS Transition consente la decrittazione dei pacchetti inviati dal punto di accesso al cliente.
Una delle rivelazioni più preoccupanti del rapporto è che i dispositivi Android sono particolarmente vulnerabili a questo attacco, a causa dell'uso di un Client Wi-Fi Linux che installa una chiave di crittografia completamente zero quando viene colpito dall'exploit, "annullando completamente qualsiasi garanzia di sicurezza".
"Questo rende banale intercettare e manipolare il traffico inviato da questi dispositivi Linux e Android", ha avvertito Vanhoef, che ha sottolineato che oltre il 40% dei dispositivi Android (incluso qualsiasi dispositivo con Android 6.0 e versioni successive) è vulnerabile a questo attacco.
L'attacco ha una portata catastroficamente ampia, con Vanhoef che osserva che "funziona contro tutte le moderne reti Wi-Fi protette" e che "se il tuo dispositivo supporta il Wi-Fi, è molto probabile che sia interessato. Durante la nostra ricerca iniziale, abbiamo scoperto noi stessi che Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys e altri sono tutti interessati da qualche variante degli attacchi.
Ha anche affermato che metodi di protezione aggiuntivi come HTTPS e VPN potrebbero non proteggere gli utenti, sottolineando che la crittografia HTTPS è stata aggirata in numerose occasioni.
WPA2 è rotto in modo permanente?
Fortunatamente, la scoperta non rappresenta un colpo mortale per i protocolli di connessione wireless; il difetto può essere corretto in modo compatibile con le versioni precedenti, il che significa che lo standard WPA2 esistente può ancora essere utilizzato. Le patch sono attualmente in fase di elaborazione da parte dei fornitori e tutti gli utenti sono invitati a installare le patch più recenti per tutti i loro dispositivi wireless non appena sono disponibili.
Vanhoef e i suoi colleghi stanno anche lavorando a uno strumento per rilevare se l'exploit può essere utilizzato contro implementazioni specifiche della crittografia interessata protocolli, che è prossimo al rilascio, nonché una prova di concetto che verrà rilasciata una volta trascorso un tempo sufficiente affinché gli utenti aggiornino i propri dispositivi.
