Zespół badaczy, który kilka miesięcy temu odkrył poważne podatności w standardzie bezpieczeństwa WPA3, nazwanych wspólnie Dragonblood, może dodać do swojego portfolio dwie kolejne, które mogłyby pozwolić atakującym na przechwycenie haseł Wi-Fi.

WPA lub WiFi Protected Access to standard bezpieczeństwa Wi-Fi, który został zaprojektowany do uwierzytelniania urządzeń bezprzewodowych przy użyciu Advanced Encryption Standard (AES) i ma na celu zapobieganie podsłuchiwaniu twoich danych przez osoby trzecie.

Protokół Wi-Fi Protected Access III (WPA3) został uruchomiony rok temu, próbując rozwiązać problemy techniczne protokołu WPA2 od podstaw, który od dawna uważany jest za niewystarczająco bezpieczny i narażony na bardziej poważne ataki typu KRACK.

Pierwszą luką, zidentyfikowaną jako CVE-2019-13377, jest atak typu “timing-based side-channel” na mechanizm “Dragonfly handshake” wykorzystujący krzywe eliptyczne Brainpool, które Wi-Fi Alliance zalecił dostawcom jako jedną z rekomendacji.

Druga podatność, zidentyfikowana jako CVE-2019-13456, to błąd umożliwiający ujawnienie informacji, który dotyczy implementacji EAP-pwd (Extensible Authentication Protocol-Password) w FreeRADIUS – jednym z najczęściej używanych serwerów open source’owych RADIUS.

Więcej informacji: https://thehackernews.com/2019/08/hack-wpa3-wifi-password.html