Уязвимость wpa_supplicant грозит перехватом Wi-Fi 2,3 млрд юзеров Android

Татьяна Никитина 16 Февраля 2024 - 08:57

...

Уязвимость wpa_supplicant грозит перехватом Wi-Fi 2,3 млрд юзеров Android

В утилите wpa_supplicant и демоне IWD (iNet Wireless Daemon, создан Intel) найдены возможности обхода аутентификации, позволяющие получить несанкционированный доступ к целевой беспроводной сети. Проблема актуальна для систем Linux, Android и ChromeOS.

Схожие ошибки в программах Wi-Fi с открытым исходным кодом были обнаружены в ходе совместного исследования профессором Лёвенского университета Мэти Ванхуфом (Mathy Vanhoef) и специалистами компании Top10VPN. Ванхуф давно интересуется вопросами безопасности Wi-Fi и получил известность как автор PoC-атак KRACK, Dragonblood и FragAttacks.

Уязвимость CVE-2023-52160 в wpa_supplicant v2.10 и ниже (по дефолту этот софт используют 2,3 млрд Android-устройств, многие Linux, а также Chromebook) проявляется при неправильных настройках клиента Wi-Fi — когда тот не проверяет SSL-сертификат сервера аутентификации.

В этом случае пользователя, совершающего вход в корпоративную сеть, можно обманом заставить подключиться к вредоносному клону для перехвата его сообщений. Взаимодействия с жертвой не потребуется, нужно лишь находиться неподалеку и знать SSID сети, которой она обычно пользуется.

Уязвимость CVE-2023-52161 в IWD возникла из-за того, что Linux-демон не фиксирует очередность сообщений в ходе хэндшейка, а попросту ведет прием. В результате открылась возможность сократить эту процедуру, пропустив пару этапов, и завершить аутентификацию без ввода пароля.

В тех случаях, когда IWD работает в режиме точки доступа, злоумышленник сможет проникнуть в защищенную сеть — домашнюю или офисную — и подключиться к интернету как законный пользователь или атаковать другие устройства, перехватывать конфиденциальные данные, доставлять зловредов.

Исследователи связались (PDF) с вендорами затронутых продуктов, и те подготовили исправления. Патчи для wpa_supplicant и IWD должны выйти в составе новых сборок, пользователям Android их, видимо, раздадут в составе мартовских обновлений, а латание дистрибутивов Linux, как всегда, будет зависеть от оперативности соответствующих команд.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 29 Мая 2024 - 18:19

Трояны Домашние пользователи Лаборатория Касперского

У россиян крадут данные с помощью фейковой ИИ-проги для изменения голоса

Троянский загрузчик Gipy раздается на Windows-компьютеры под видом популярного ИИ-приложения для изменения голоса. По данным «Лаборатории Касперского», вредоноса в основном используют для доставки инфостилеров, в том числе Lumma и RedLine.

В ИБ-компании отслеживают атаки Gipy около года. В Топ-5 стран по числу пользователей, на машинах которых сработала защита, входит Россия.

Распространители зловреда создали ряд поддельных ресурсов и публикуют ссылки на фейковый преобразователь речи на взломанных сайтах WordPress. При запуске троян начинает загружать с GitHub запароленные архивы с легитимными и вредоносными программами.

В Kaspersky насчитали более 200 таких ZIP; в большинстве случаев содержимым оказался стилер Lumma. В ходе анализа были обнаружены и другие зловреды этого класса — RedLine, RisePro, Loli (написан на Golang), а также трояны DcRAT, RADX RAT и Go-бэкдор TrueClient.

«Сервисы на основе нейросетей приносят огромную пользу и могут кардинально улучшить нашу повседневную жизнь, — отметил эксперт Kaspersky Олег Купреев. — Но нужно помнить, что злоумышленники манипулируют интересом людей к таким инновациям для распространения вредоносных программ и проведения фишинговых атак. Они уже некоторое время используют нейросети и чат-боты в качестве приманки, и нет предпосылок к тому, чтобы этот тренд изменился».

Уязвимость wpa_supplicant грозит перехватом Wi-Fi 2,3 млрд юзеров Android

Читайте также