Una falla nello standard WPA3 facilita il furto delle password Wi-Fi

Una falla nello standard WPA3 facilita il furto delle password Wi-Fi

Due ricercatori di sicurezza pubblicano un documento in cui analizzano le possibilità di violazione dello standard del 2018 che usa il protocollo AES

Il WPA3 è stato reso disponibile, in via ufficiale e globale, a gennaio del 2018. Lo standard utilizza il protocollo Advanced Encryption Standard (AES) per migliorare la sicurezza della rete Wi-Fi. Tuttavia, un nuovo documento pubblicato da Mathy Vanhoef e Eyal Ronen, mostra che il sistema potrebbe non essere così sicuro come si pensava. “La certificazione WPA3 mira a proteggere le reti e a offrire numerosi vantaggi rispetto al suo predecessore, il WPA2, ad esempio attraverso la protezione dagli attacchi offline e una maggiore attenzione alla privacy – scrivono i due ricercatori – sfortunatamente, dimostriamo che il WPA3 è affetto da diversi difetti di progettazione, che consentono di compiere varie attività di intrusione, sia teoricamente che praticamente”.

Cosa succede al network Wi-Fi

Secondo la scoperta, gli aggressori potrebbero sfruttare il timing o le perdite di canale laterale basate sulla cache per ottenere la password di un Wi-Fi. I ricercatori hanno affermato che questa tecnica può essere “abusata per rubare informazioni sensibili, come numeri di carte di credito, password, messaggi di chat, e-mail e così via”. Ma non solo: Vanhoef e Ronen proseguono col dire che l’handshake di Simultaneous Authentication of Equals (SAE) di WPA3, noto anche come Dragonfly, può essere influenzato dagli attacchi di partizionamento della password: “Queste tecniche consentono ad un avversario di recuperare le chiavi segrete, sfruttando le informazioni della cache, come confermato dai nostri test”.

Per aiutare a identificare e mitigare questi attacchi, i ricercatori hanno rilasciato quattro strumenti di proof-of-concept su GitHub. Con questi, gli utenti possono testare le vulnerabilità e, nel caso, correre ai ripari. In che modo? “È interessante notare che una semplice modifica dell’algoritmo di hash avrebbe impedito la maggior parte delle vulnerabilità” – concludono. Ed è per questo che la Wi-Fi Alliance ha rilasciato un aggiornamento del WPA3-Personal, che chiude alle possibilità di intrusione, e che sarà diffuso dai produttori dei dispositivi interessati.

Leggi anche:  Kaspersky Lab contribuisce all’eliminazione di sette vulnerabilità nella suite ThingsPro