Zranitelnost je podle výzkumníků nejzávažnější u takzvaných přechodových sítí, které kombinují standardy WPA2 a WPA3. Právě ty jsou dnes přitom nejvíce rozšířené, protože mnoho zařízení zatím není plně kompatibilních s čistým WPA3 režimem. To nutí správce sítí používat právě tento zranitelný přechodový režim.
Kde je problém
„Problém spočívá v tom, že útočník může přinutit síť přejít do režimu zpětné kompatibility s WPA2. Během tohoto přechodu je možné zachytit část autentizační komunikace mezi zařízením a přístupovým bodem,“ vysvětluje hlavní autor studie Kyle Chadee. Útočník pak může vytvořit falešný přístupový bod, který se tváří jako legitimní síť, a přesměrovat uživatele na podvržený přihlašovací portál.
Když uživatel na tomto portálu zadá své přihlašovací údaje, útočník může ověřit jejich správnost pomocí dříve zachycené komunikace. Tím získá přístup k síti a může odposlouchávat veškerý nešifrovaný provoz.
Mohlo by vás zajímat
Jak se zachovat
Správci sítí by měli podle výzkumníků především aktivovat funkci Protected Management Frames (PMF), která chrání před některými typy útoků. Kde je to možné, doporučují používat výhradně WPA3 režim bez zpětné kompatibility. Nezbytné jsou také pravidelné aktualizace firmwaru všech síťových zařízení.
Běžní uživatelé by měli zpozornět zejména v situacích, kdy se jim zobrazí duplicitní názvy sítí. V takovém případě je lepší se nepřipojovat a kontaktovat správce sítě. Důležité je také používat silná hesla a pravidelně je měnit.
Pro minimalizaci rizika odborníci doporučují kombinaci několika opatření:
Pro správce sítí:
- Aktivovat Protected Management Frames (PMF)
- Používat výhradně WPA3 režim tam, kde je to možné
- Pravidelně aktualizovat firmware všech síťových zařízení
- Monitorovat síťový provoz pro detekci podezřelých aktivit
- Zvážit implementaci dodatečných bezpečnostních opatření jako 802.1X
Pro uživatele:
- Být obezřetní při připojování k sítím, zejména když se objeví duplicitní SSID
- Používat silná hesla a pravidelně je měnit
- Aktualizovat zařízení na nejnovější verze firmwaru
- V případě podezření na kompromitaci okamžitě změnit heslo
Mohlo by vás zajímat
Jak reagují výrobci
Výrobci síťových zařízení již na problém reagují. Například společnost Siemens Gamesa vydala doporučení pro správce sítí a připravuje bezpečnostní aktualizace. Další výrobci situaci analyzují a pracují na vlastních protiopatřeních.
„Je důležité si uvědomit, že žádný bezpečnostní protokol není dokonalý,“ říká spoluautor studie Wayne Goodridge. „Proto je klíčové neustále testovat a vylepšovat bezpečnostní mechanismy. Našim cílem není vyvolat paniku, ale přispět ke zlepšení zabezpečení Wi-Fi sítí.“
I přes objevenou zranitelnost zůstává WPA3 nejbezpečnějším dostupným standardem. Při dodržení základních bezpečnostních pravidel poskytuje stále výrazně lepší ochranu než starší protokoly.
5 foto
