Twee grote tekortkomingen in open source-software kunnen kwaadwillenden in staat stellen in te breken in met een wachtwoord beveiligde WiFi-netwerken voor thuis en op het bedrijf. De kwetsbaarheden die WiFi-netwerken treffen, zijn gepubliceerd in Top10VPN, met bijdragen van Mathy Vanhoef, een vooraanstaand beveiligingsonderzoeker. De twee tekortkomingen staan los van elkaar, maar zorgen er samen voor dat veel WiFi-netwerken voor thuis- en bedrijfsnetwerken vatbaar zijn voor aanvallen. Concreet zorgen de beveiligingsproblemen voor zogenaamde authenticatie-bypass-aanvallen. Hierdoor kunnen hackers gebruikers ertoe verleiden verbinding te maken met gekloonde versies van vertrouwde netwerken, hun gegevens te onderscheppen en zonder wachtwoord verbinding te maken met echte netwerken.
Hoeveel apparaten lopen risico door deze kwetsbaarheden in het WiFi-netwerk?
De grootste fout betreft wpa_supplicant v2.10 en lager, dat door Android-apparaten wordt gebruikt om verbinding te maken met met een wachtwoord beveiligde WiFi-netwerken. Bovendien zeggen de onderzoekers dat wpa_supplicant ook wordt gebruikt om verbinding te maken met WiFi-netwerken op Linux- en ChromeOS-apparaten, dus de kwetsbaarheden zijn verstrekkend. Volgens het artikel zal deze fout alleen gevolgen hebben voor apparaten die niet goed zijn geconfigureerd. De onderzoekers voegen er echter aan toe dat veel Android-apparaten niet goed zijn geconfigureerd. Ze vermoeden dat 2,3 miljard Android-gebruikers getroffen kunnen worden door dit ene beveiligingslek.
Het beveiligingsprobleem wpa_supplicant heeft alleen betrekking op bedrijfsnetwerken (WPA2-E of WPA3-E), dus thuisgebruikers hoeven zich geen zorgen te maken. Maar als je bedenkt hoeveel bedrijven en scholen bedrijfsnetwerken gebruiken, is dit nog steeds een probleem. Vooral de onderwijssector lijkt gevaar te lopen, aangezien ChromeOS-apparaten daar zeer gebruikelijk zijn. Bovendien is de kans groter dat studenten worden gedupeerd door gekloonde WiFi-netwerken, vooral op jongere leeftijd. Het is ook riskant omdat gevoelige informatie vaak wordt beveiligd door deze bedrijfsnetwerken.
De tweede kwetsbaarheid betreft de IWD-software en treft thuisnetwerken. Het brengt echter alleen Linux-apparaten in gevaar, dus niet veel gebruikers zullen door deze fout worden getroffen.
Hoe kunt u uw apparaten beschermen?
Deze beveiligingsproblemen zijn gemeld. De wpa_supplicant-bug wordt bijgehouden als CVE-2023-52160, en de IWD-fout wordt bijgehouden als CVE-2023-52161. Vermoedelijk wordt er aan gewerkt om deze tekortkomingen onmiddellijk te verhelpen.
Er zijn zelfs al enkele oplossingen voor bepaalde platforms. ChromeOS-apparaten kunnen worden bijgewerkt naar versie 118, die een oplossing bevat voor de wpa_supplicant-bug. Android-apparaten wachten echter nog steeds op een oplossing, die in een volgende Android-beveiligingsupdate zal verschijnen. Tot die tijd zeggen de onderzoekers dat een CAT-tool kan worden gebruikt om hun apparaten te beveiligen. Linux-gebruikers zullen moeten wachten tot hun favoriete distro een patch vrijgeeft voor wpa_supplicant.
