Dois pesquisadores independentes da Universidade Católica de Leuven (KU Leuven), na Bélgica, reportaram nesta segunda-feira ter encontrado uma falha de segurança em conexões Wi-Fi. Mathy Vanhoef e Frank Piessens detectaram uma vulnerabilidade no protocolo WPA2, que garante que todas as redes de Internet sem fio estejam protegidas. Ainda não há notícia de que a brecha tenha sido explorada por hackers. Porém, atacantes podem se aproveitar dessa lacuna para roubar informações confidenciais em sites sem https, como senhas ou números de cartão de crédito.
"Se o seu dispositivo suportar Wi-Fi, provavelmente será afetado”, disse a dupla no site krackattacks.com, que criaram para fornecer informações técnicas do caso.
Se o seu dispositivo suportar Wi-Fi, provavelmente será afetado
Vanhoef teria realizado um novo tipo de ataque handshake de quatro vias sobre o protocolo WPA2. Isso significa que o pesquisador encontrou uma maneira de contornar a segurança oferecida pelo protocolo de rede. Sempre que alguém se conecta em uma rede Wi-Fi, um handshake é executado para criar uma nova chave de criptografia para todo o tráfego que vai existir a partir daquela conexão.
O handshake (aperto de mão, em português) é o nome do processo pelo qual duas máquinas firmam um acordo, em que uma reconhece a outra e instituem que estão prontas para iniciar a comunicação sem interferências. Para garantir a segurança dessa conversa, uma chave deve ser instalada e usada apenas uma vez.
O que a dupla fez foi um ataque que usa a reinstalação de uma chave (krack ataque). Sendo assim, um invasor pode enganar a vítima para reinstalar uma chave que já está em uso, o que permite ao atacante roubar informações trocadas nesta rede. O ataque, porém, não tem alcance sobre os pontos de acesso (máquinas), mas apenas sobre o tráfego que acontece na rede ao explorar a falha.
"Descobrimos falhas graves no WPA2, um protocolo que assegura todas as redes Wi-Fi protegidas modernas. Um invasor ao alcance de uma vítima — ou seja, próximo do roteador, celular ou computador — pode explorar essas vulnerabilizades usando ataques de reinstalação de chaves (KRACKs)", diz o documento divulgado pela dupla nesta manhã, causando forte preocupação.
Os ataques funcionaram contra redes Wi-Fi pessoais e corporativas, contra o protocolo WPA — mais antigo — e o padrão WPA2 — mais recente — e também contra redes que usam apenas o protocolo AES. A reação do setor foi imediata.
Corrida contra o tempo
O Wi-Fi Alliance, grupo da indústria que representa centenas de empresas que trabalham com tecnologia Wi-Fi, disse que o problema poderia ser resolvido através de uma atualização de software. Em comunicado, a instituição sugeriu que seus membros liberem rapidamente correções e recomendem que os consumidores instalem "para ontem" essas atualizações de segurança.
"A Wi-Fi Alliance agradece a Mathy Vanhoef e a Frank Piessens, do grupo de pesquisa imec-DistriNet, da KU Leuven, por descobrir e reportar de forma responsável esta questão, permitindo que a indústria preparasse proativamente as atualizações, encerra o grupo em comunicado à imprensa internacional.
Como a falha pode ser explorada
Ainda de acordo com os pesquisadores, os atacantes podem usar esta nova técnica de ataque para ler informações que, até o momento, eram assumidas como encriptadas e seguras por todo o setor de tecnologia. Ao aproveitar uma técnica como essa, hackers podem roubar números de cartão de crédito, senhas, acessar suas mensagens de bate-papo e e-mails, fotos e outros dados enviados.
Dependendo da configuração da rede de Internet, o ataque também pode injetar e manipular dados que estejam sendo trocados. Um invasor poderia, até mesmo, injetar vírus como ranso
No caso de a vítima usar os protocolos de criptografia WPA-TKIP ou GCMP, o impacto é maior. O mesmo ataque permite que um adversário não apenas decifre como mas também injete pacotes, alterando sites receptores desses dados.
Sistemas operacionais afetados
Para evitar o ataque, os usuários devem atualizar o sistema que opera as máquinas conectadas e realizar todas as atualizações de segurança que estiverem disponíveis. "Durante nossa pesquisa inicial, descobrimos que o Android, Linux, Apple (iOS e macOS), Windows, OpenBSD, MediaTek, Linksys e outros sistemas, são afetados por alguma variante dos ataques", explica a pequisa divulgada.
Como prova de conceito, foi mostrada a reinstalação da chave de rede em um smartphone com Android — sistema operacional do Google. No vídeo divulgado pela dupla, o invasor foi capaz de desencriptar todos os dados transmitidos.
"Para um atacante isso é fácil de realizar, o ataque é excepcionalmente devastador contra Linux e Android 6.0 ou superior", disseram. Em outros dispositivos, entretanto, mostrou-se mais difícil decifrar todos os pacotes trocados, completam. Mesmo assim muitos dos dados trocados puderam ser interceptados online.
E, embora sites ou aplicativos de celulares possam usar o protocolo https como uma camada adicional de proteção, a pequisa lembra que essa proteção extra de segurança foi ignorada em um número preocupante de situações já testadas em apps não-navegadores mas que acessam páginas no iOS, no Mac OS X, no Android, em aplicativos bancários e até mesmo em aplicativos de VPN.
Os ataques dispensam que o hacker descubra a senha do Wi-Fi do usuário. Trocar a senha do roteador, por exemplo, não vai funcionar para proteger-se, neste caso. Entretanto, os ataques são complicados e demandam que o atacante tenha conhecimentos bastante específicos. A pesquisa completa por trás do ataque ao WPA2 será apresentada na conferência Computer and Communications Security (CCS) e na Black Hat Europe. Até lá, fabricantes correm para corrigir a falha.
Enquanto isso não acontece, contra a falha, a conexão por cabo é a mais segura.
Via Krackattacks, KU Leuven e Wi-Fi Alliance
Tem dúvidas sobre segurança digital? Comente no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- O que é Messenger Lite? Conheça o mensageiro mais leve do Facebook
- Como saber se a JBL Xtreme 2 é original ou réplica? Veja cinco dicas
- Rocket League: entenda cenário competitivo e torneios do jogo
- LoL recebe atualização 10.10 com skins Pulsefire; veja patch notes
- F1 Esports Series: veja datas, pilotos e regras da terceira temporada
- Como personalizar o recurso de AutoCorreção do Excel
- Dez eletrônicos para ficar de olho na Black Friday 2019
- Spotify dá erro 'não foi possível compartilhar nas histórias do Instagram'
- Xiaomi lança smartwatch infantil com bateria para até 7 dias
- Twitter lança Fleets, função de posts momentâneos exclusiva para o Brasil
- Como baixar Resident Evil 4 Ultimate HD Edition no PC, Xbox 360 e PS3
- iWork ganha atualização no Mac, iPhone e iPad; conheça novidades
- The Surge 2 terá DLC e Season Pass com itens exclusivos
- Counter-Strike Nexon: Zombies chega gratuito ao Brasil e em portugu
- Aplicativo de metas: 6 apps para seguir resolução de ano novo 2020
- Como limpar galeria do Android ao estilo Tinder com o app SlidePick?
- CS:GO: MIBR perde para Evil Geniuses na ESL Pro League Season 11 NA
- Como ganhar dinheiro no Ame Digital
- Drone anunciado como o menor do mundo é do tamanho de moeda; conheça
- Nyvi Estephan: conheça a apresentadora de esports e repórter do BBB 20