De nieuwe WPA2-aanval die twee Belgische onderzoekers ontwikkelden raakt alle wifi-apparaten, maar is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien. Van de twee miljard actieve Android-apparaten draait 32 procent deze versie van het besturingssysteem.
Dat blijkt uit de paper van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet die inmiddels online is verschenen (pdf). De twee onderzoekers ontwikkelden een 'key reinstallation attack' waarmee het mogelijk is om de WPA2-beveiliging van wifi-netwerken aan te vallen. De aanval maakt gebruik van ontwerp- of implementatiefouten in cryptografische protocollen om een al in gebruik zijnde sleutel opnieuw te installeren.
Alle beveiligde wifi-netwerken maken gebruik van een zogeheten '4-way handshake' voor het genereren van een nieuwe sessiesleutel. Deze handshake wordt al 14 jaar gebruikt en is in die tijd nog nooit succesvol aangevallen, aldus Vanhoef en Piessens. De onderzoekers hebben echter een manier gevonden om een key reinstallation aanval uit te voeren, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt. Dit zorgt er weer voor dat WPA2-encryptieprotocollen keystream hergebruiken bij het versleutelen van pakketten. Een aanvaller kan deze keystream afleiden en ontsleutelen.
De impact hiervan is afhankelijk van de gebruikte handshake-methode en het datavertrouwelijkheidsprotocol. Tegen het encryptie-algoritme AES-CCMP kan een aanvaller pakketten opnieuw afspelen en ontsleutelen, maar niet vervalsen. Tegen WPA-TKIP en GCMP is de impact volgens de onderzoekers catastrofaal. In dit geval kunnen de pakketten naast het opnieuw afspelen en ontsleutelen ook worden vervalst. Een aanvaller kan zo kwaadaardige code in het verkeer injecteren.
De onderzoekers besloten de aanval in de praktijk uit te voeren en stellen dat elk wifi-apparaat kwetsbaar is voor een variant van de ontwikkelde aanvallen. De aanval is echter tegen Android 6.0 "vernietigend". Daar kan een aanvaller de client een voorspelbare "all-zero" encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Zodoende is het eenvoudig voor een aanvaller om het verkeer van Android 6.0-apparaten te onderscheppen en te manipuleren.
De onderzoekers deelden hun onderzoek van tevoren met allerlei organisaties, zodat er updates konden worden ontwikkeld. Ze benadrukken dat WPA3 dan ook niet nodig is. Alle implementaties kunnen worden gepatcht op een manier die backwards compatibel is. Het is echter de vraag of alle apparaten een update zullen ontvangen. Iets wat met name lijkt te spelen voor de honderden miljoenen gebruikers van Android 6.0.
Op de website over de aanval melden de onderzoekers dat Android-apparaten met versie 6.0 en nieuwer met name kwetsbaar zijn. Daardoor zou de kwetsbare Android-populatie veel groter zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.