Уязвимость в стандарте Wi-Fi позволяет проводить атаки с подделкой SSID

Вероника Дубровская 16 Мая 2024 - 20:28

...

Уязвимость в стандарте Wi-Fi позволяет проводить атаки с подделкой SSID

С помощью уязвимости в стандарте Wi-Fi IEEE 802.11 злоумышленники обманным путем могут заставить пользователей подключиться к незащищенным сетям. В этом случае пользовательский интерфейс клиента будет отображать SSID, отличный от идентификатора реальной сети, к которой он подключен.

На сайте Top10VPN сообщалось, что жертвы таких атак подвергаются риску перехвата и манипулирования трафиком.

Исследователи бельгийского университета KU Leuven обнаружили брешь, получившую идентификатор CVE-2023-52424. Данная уязвимость затрагивает клиентов Wi-Fi во всех операционных системах. К пострадавшим относятся сети Wi-Fi, основанные на широко распространенном протоколе WPA3, WEP и 802.11X/EAP.

Исследователи пишут, что причина этой бреши в конструкции Wi-Fi кроется в том, что стандарт IEEE 802.11 не всегда требует аутентификации идентификатора беспроводной сети при подключении к ней клиента.

Исследователи поясняют, что для аутентификации себя и клиентов, а также для согласования ключей шифрования современные сети Wi-Fi используют 4-сторонний хендшейк с применением общего парного мастер-ключа (PMK). Он может быть получен различными способами в зависимости от версии Wi-Fi и конкретного используемого протокола аутентификации.

Проблема в том, что стандарт IEEE 802.11 не всегда требует включать SSID в процесс получения ключа, то есть не предписывает прохождение аутентификации идентификатора беспроводной сети при подключении к ней клиента.

В этом случае злоумышленники могут установить несанкционированную точку доступа, подделать SSID доверенной сети и использовать ее для понижения рейтинга жертвы до менее доверенной сети.

Эксплуатация данной бреши актуальна только при наличии двух сетей Wi-Fi с общими учетными данными. Такая ситуация возможна, когда в организации есть сеть 2,4 ГГц и отдельный диапазон 5 ГГц, каждый из которых имеет свой SSID, но одинаковые учетные данные.

Зачастую, все клиентские устройства организации подключаются к более защищенной сети 5 ГГц. Находящийся достаточно близко к сети злоумышленник может установить неавторизованную точку доступа с тем же SSID, что и в диапазоне 5 ГГц для получения и пересылки всех кадров аутентификации в более слабую точку доступа 2,4 ГГц, а также заставить клиентские устройства подключаться к этой сети.

Для устранения данной проблемы Top10VPN и исследователи порекомендовали:

обновление стандарта Wi-Fi, чтобы сделать аутентификацию SSID обязательной;
избегать повторного использования учетных данных в разных SSID;
усовершенствовать защиту маячков, которые точка доступа периодически передает для объявления своего присутствия, чтобы подключенные клиенты могли обнаружить, когда SSID меняется.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 19:39

Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аладдин

«Аладдин» выпустил Aladdin 2FA без зависимости от App Store и Google Play

Российская компания «Аладдин» представила новую версию решения для двухфакторной аутентификации Aladdin 2FA, которая работает в формате Progressive Web Application (PWA). Главное новшество — теперь приложение не зависит от зарубежных магазинов приложений вроде App Store и Google Play.

Новый формат расширяет возможности JaCarta Authentication Server (JAS) — корпоративного сервера аутентификации, который используется для организации двухфакторной защиты в информационных системах и бизнес-приложениях.

В компании отмечают, что традиционная схема распространения мобильных приложений через магазины приложений несет определенные риски. Сервис может столкнуться с ограничениями, удалением из каталога или другими внешними факторами, которые влияют на доступность решения для пользователей.

В случае с PWA эти проблемы обходятся стороной. Приложение размещается непосредственно в инфраструктуре заказчика и запускается через веб-браузер. При этом для пользователя всё выглядит привычно: после установки на устройство Aladdin 2FA получает собственную иконку, работает как обычное мобильное приложение и поддерживает стандартные сценарии двухфакторной аутентификации.

Еще одно преимущество — универсальность. Решение работает на смартфонах, планшетах, ноутбуках и автоматизированных рабочих местах независимо от используемой аппаратной платформы.

Особый акцент разработчики делают на полном контроле со стороны организации. Все компоненты системы разворачиваются внутри инфраструктуры заказчика, а обновления распространяются централизованно вместе с серверной частью. Это избавляет ИТ-службы от необходимости публиковать новые версии через сторонние площадки и упрощает администрирование.

По словам менеджера по развитию бизнеса JMS/JAS/JIP компании «Аладдин» Станислава Винарского, новый формат делает двухфакторную аутентификацию по-настоящему независимой. Заказчики могут самостоятельно управлять размещением, обновлением и эксплуатацией решения, не полагаясь на зарубежные сервисы и внешние платформы.

На фоне растущего интереса российских компаний к технологическому суверенитету такой подход выглядит вполне логичным. Если раньше вопрос стоял в том, каким приложением пользоваться для двухфакторной аутентификации, то теперь всё чаще возникает другой: как сделать так, чтобы доступ к этому приложению не зависел от решений иностранных площадок.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!