V čem spočívá zranitelnost WiFi

Zranitelné jsou pouze WiFi, která využívají protokol WPA2 k zabezpečení přenosu dat. Jeho úlohou je, aby byl přenos dat po bezdrátové síti šifrovaný a nemohl jej nikdo neoprávněně sledovat.

Tento protokol však využívá drtivá většina WiFi. Byl totiž považován za naprosto bezpečný. Bohužel před několika dny byla v tomto protokolu objevena chyba, kterou mohou využít hackeři.

Chyba dostala název KRACK, což je zkratka Key Reinstallation Attack, kterou lze přeložit jako útok pomocí reinstalace klíčů. Název chyby vystihuje, jak mohou tuto chybu hackeří zneužít.

Během otevírání zabezpečeného spojení mezi WiFi routerem a uživatelem, tedy chytrým telefonem, tabletem, notebookem nebo počítačem si obě strany vyměňují v několika krocích, šifrovací klíče. Útočník dokáže díky chybě, v třetím kroku, nazvané KRACK, tento klíč získat a sledovat přenos dat po bezdrátové síti oběti.

Díky tomu má útočník přístup ke všem datům oběti. Může tak například zjistit její přístupové údaje k internetovému bankovnictví a připojit se k jejímu bankovnímu účtu. Kromě hesel a čísel kreditních karet, může útočník získat a zneužít další citlivé informace oběti.

Podmínkou provedení tohoto typu útoku je nutnost být v blízkosti oběti.

Bezpečnostní expert a objevitel bezpečnostní trhliny jí detailně popsal. Tento popis včetně videa najdete na krackattacks.com

Jak se chránit před útokem

Jelikož KRACK útočí na straně uživatele, mějte na svém chytrém telefonu, tabletu, počítači všechny dostupné aktualizace. Účinnou ochranu představuje využívání zabezpečeného protokolu https. Tento protokol totiž představuje další vrstvu šifrování, která je zcela nezávislá na šifrování WPA2.

Pokud hacker dešifruje vaši komunikaci přes WiFI využitím bezpečnostní trhliny KRACK, nerozšifruje už komunikaci zašifrovanou pomocí TLS nebo SSL, které využívá https.

Útočník musí tedy zdolat další bariéru, kterou mu staví šifrování https. Může zkusit podvrhnout stránku, odstranit šifrování https a spolehnout se na to, že si toho uživatel nevšimne.

Může také odstranit SSL, i v tomto případě musí spoléhat na nevšímavost uživatele. Uživatel totiž nevidí zelený zámek. Další možností je provést MitM útok (man-in-the-middle), což v překladu znamená „skrz člověka uprostřed“. V tomto případě uživatel uvidí na monitoru bezpečnostní hlášení o nedůvěryhodném certifikátu.

Uvidí-li jakoukoliv změnu, například, že v adrese se místo https objevilo pouze http, neuvidí zelený zámeček nebo uvidí bezpečnostní hlášení, neměl by v žádném případě pokračovat v používání služby.

Co vás naopak před útokem neochrání

Změna hesla bývá osvědčená metoda, která funguje v mnoha případech. V případě chyby KRACK však nefunguje. Měnit heslo na routeru je v tomto případě naprosto zbytečné. Hacker totiž v tomto případě nepotřebuje k útoku znát heslo pro přístup do sítě. KRACK je první útok na WPA2, který nevyužívá hádání hesla k WiFi.

Zranitelnost WiFi lze naštěstí opravit

Naštěstí objevení KRACKU neznamená konec protokolu WPA2: Bezpečnostní chybu lze totiž opravit.

Některé firmy, například Microsoft, již zranitelnost opravily. Před KRACKEM jsou chráněni uživatelé produktů Microsoft, kteří mají aktivní automatické aktualizace a uživatelé, kteří si stahují všechny dostupné aktualizace.

Společnost Google oznámila, že připravuje opravu pro mobilní telefony se systémem Android.