Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Специалист по безопасности Мэти Ванхоф обнаружил две уязвимости в протоколе аутентификации Wi-Fi, позволяющие злоумышленникам перехватывать трафик пользователей в беспроводных сетях. Согласно его отчёту, в зоне риска находятся более 2 миллиардов устройств.

Wi-Fi

Обнаруженные уязвимости связаны с сетевым компонентом wpa_supplicant, который отвечает за аутентификацию в беспроводной сети на различных устройствах. С их помощью злоумышленники могут действовать в обход аутентификации Wi-Fi (без пароля): заставлять гаджеты подключаться к клонированным сетям и «сливать» данные пользователей.

Потенциально «под раздачу» попадают компьютеры под управлением Windows и Chrome OS, а также Android-гаджеты, подключающиеся к публичным беспроводным сетям. Схожая проблема была замечена и в демоне IWD — аналоге wpa_supplicant для Linux.

Самую серьёзную опасность, по словам эксперта, представляет собой «дыра» в wpa_supplicant v2.10 и более ранних версий. Этот компонент используется Android-устройствами для подключения к защищённым паролем сетям Wi-Fi, а также некоторыми компьютерами на Linux и ChromeOS. Потенциально уязвимости CVE-2023-52160 могут быть подвержены до 2,3 млрд пользовательских устройств.

Wi-Fi

Похожая, хоть и не столь масштабная проблема затрагивает корпоративные сети (WPA2-E или WPA3-E), которые обычно используются в школах, больницах и других учреждениях. Уязвимость в IWD (CVE-2023-52161) затрагивает частные сети — она опасна для ПК под управлением Linux.

Для устройств на базе ChromeOS (не старше версии 118) уже вышел патч, закрывающий уязвимость. Комплексного решения для платформы Android пока нет — ожидается, что соответствующий апдейт безопасности будет выпущен в ближайшее время.

Источник: androidheadlines.com


  • kiss1984
    ну и ладно
    • anshi3032
      Представляете сколько было бурлений коричневой массы в комментариях, если бы новость была про устройства Apple?
      • Jurakorni
        anshi3032,
        А причём тут эпл, если это проблема линя?
        • skamaroh14
          Jurakorni,
          Человек пришёл про эпл писать, пофигу, что в статье.
          • sgt.cartman
            Jurakorni,
            и винды.
            • Jurakorni
              sgt.cartman,
              Ну винды потенциально, она wpa supplicant не юзает наверное...
              • adasiko
                sgt.cartman,
                в оригинале Windows нет
                Видать тут глухой телефон
              • Jurakorni,
                Так вроде написано другое "две уязвимости в протоколе аутентификации Wi-Fi" ... =)
                • ffppdda
                  Jurakorni,
                  и андроид и айос на базе ядра линукс сделаны, разные лишь оболочки, где андроид использует весь потенциал, а айос кастрирован по самый лобок
                  • Nikitin_Gs
                    ffppdda,
                    Айос на Дарвине сделан (как и макос), а не на линуксе. Дарвин, в свою очередь является наследником юникса и беркли
                    • Nikitin_Gs
                      ffppdda,
                      Ну и да, тут речь не про ядро, а про конкретную программу, распространяемую отдельно
                  • PMT7077_3G
                    anshi3032,
                    Ну вот ты и забурлил. Помолчал бы и пронесло, но не смог же сдержаться)
                    • Almostdivine
                      anshi3032, ничего, и до него дойдут, наверняка там есть некая преемственность кодовой базы. У меня как-то был прикол с блютуз наушниками лет 15 назад. При попытке подключения к убунте модуль блютуса вываливался с ошибкой. Потом я решил подключить их к макбуку и, о сюрприз, произошло тоже самое с той же ошибкой, хотя казалось бы...
                      • adasiko
                        Almostdivine,
                        ну так прошивка/драйвер Bluetooth модуля и выдали одно и тоже
                        в статье же про уровень выше - там разное

                        (отредактирован)

                      • sprigh
                        anshi3032,
                        "бурлений коричневой массы в комментариях".

                        Ну, вот ты первый и нарисовался забурлив коричневой массой
                        • formaks
                          anshi3032,
                          Вы с этим эплом напоминаете Неуловимого Джо.
                          Знаешь почему он неуловим?
                          • Amadeus666
                            anshi3032,
                            а про ведро бурления нет, ибо в ведре дыр как в решете, к этому все привыкли давно, это норма и "Вы не понимаете, это другое!"
                            • djlfjdsfsj
                              anshi3032,
                              Я не представляю ни одну статью, где бы писалось про Windows/Linux/Android/etc, а в комментариях не нашелся ни один яблочный фанат, который бы хотел написать подобный комментарий, начиная со слова "представляете" и что-то потом про "коричневые массы" добавляя. Такое я уже видел триллионы раз.

                              P.S.
                              Сейчас меня флэшбэком откинуло к идущему к реке и рассуждению Жака Фреско о боге из видеоролика на YouTube "Когда бог тебя шлёт на*ер" (на самом деле я его несколько минут назад посмотрел, перед тем как со смартфоном пошел в клозет и стал читать новости на 4PDA).

                              P.S.2
                              Ну а если по теме, то ни одна из не-яблочных ОС и близко себя не рекламирует как "самую безопасную", как это обычно делают яблочники, особенно что касается ОС на мобильной платформе, где яблочные гаджеты с iOS не без помощи таких нарративов и заняли свою нишу на рынке. Поэтому в данном случае меня бы не удивило, если бы люди особо активничали в комментариях, если бы речь шла о дырах в безопасности iOS. Ведь яблочная корпорация сама придумала себе на голову стереотипы, из-за несоответствия которым народ может ее гнобить.
                            • Perfumero
                              Чушь, у пользователей android и linux нечего красть.
                              • DaimonJV
                                Perfumero,
                                Да хватит уже.джипег
                                • Perfumero
                                  DaimonJV,
                                  Скорее... Да заткнись ты уже.джипег))
                                • Perfumero,
                                  Т.е по вашему 20 гиговый пак по млп это ничего?
                                  • vsaR1SK
                                    cdtj,
                                    А у тебя что, своего нет?
                                    • adasiko
                                      cdtj,
                                      мало же
                                      • арс чёткий
                                        cdtj,
                                        Это Лгбт. Потому что радуга, дружба магия и прочее. Срочно удаляй! А лучше сожги на костре свой смартфон
                                    • root.moscow
                                      "Никогда так не было и вот опять"
                                      • chucha998
                                        Ну перехватили трафик. Он щас весь шифрованный, смысл какой в перехвате той каши что пойдёт через поддельную точку доступа?
                                        • Namles
                                          chucha998,
                                          Вы полностью правы! Статья как обычно для шума)))
                                          • Nikitin_Gs
                                            chucha998,
                                            Так очень просто. Понять какие сайты посещает можно спокойно, подставить свои сайты – тоже, а там уже всё – полный доступ
                                          • Consence
                                            Кто эти злоумышленники? Ни одного не могут поймать и посадить в тюрьму, значит их там нет.
                                            • bober1976
                                              интересно, как "патч для андроида" выпустят, учитывая, что на каждом устройстве он частично свой, не говоря уж про разные версии оси...

                                              есть мысль, что дырой пользовались давно, ток внезапно решили прикрыть зачем-то
                                              • kmivang
                                                bober1976,
                                                OK, google: "project treble"
                                                • bober1976
                                                  kmivang,
                                                  cпасибо. интересно.
                                                  Но, говорят, даже с проектом mainline не получилось достичь этого.
                                                  habr.com/ru/companies/orioninc/articles/561118/
                                              • UnregisterBot
                                                кофемолки дудосят майкрософт. Опять. В очередной раз. И холодильники майнят хакерам.
                                                • UnregisterBot,
                                                  Зубные Щетки забыл😉🤣🤣,Самые Страшные Хакеры
                                                • Seilenos
                                                  А что там с iOS? Ах, да, совсем забыл
                                                • Dobryachok12
                                                  Я не подключаю свои девайсы к публичным сетям. Мобильный тырнет пашет нормально.
                                                  Если бы речь шла обо всех роутерах
                                                  • FcTheSystem
                                                    Помню еще в 2012 году тему вайфай снифферов проштудировал и с планшета на площади города подрубился в публичной сети халявной. Перехватил данные чьи-то и это оказалась девочка какая-то, что сидела в одноклассниках через браузер, а не приложение. Как раз браузерные сессии и легче всего перехватить (сейчас не знаю. Как то приложение, перестало работать, которым пользовался, так и забыл про это). Написал ей сообщение самой себе в одноклассниках, что не надо сидеть в халявном вайфае без зашиты) Сразу почти устройство из сети пропало)) Интересно, до сих пор так можно?

                                                    (отредактирован)

                                                    • adasiko
                                                      FcTheSystem,
                                                      За прошедшие десять лет медленно, но уверенно считай все сайты перешили на https.
                                                      Тоесть из-за шифрования такой простой скрипткидовый приём уже не сработает.

                                                      Но если пользователь зайдёт на какой-то старый/небезопасный http сайт с вводом паролей, то сработает.

                                                      (отредактирован)

                                                    • ran4erep
                                                      в Wi-Fi давно уже есть дыра. Любой школьник, имеющий Wi-Fi адаптер, может получать трафик с вашей точки доступа, включая пароль от неё
                                                      • sprigh
                                                        Seilenos,
                                                        Ты сайт попутал. Тебе сюда ➡️_iguides.ru/main/security/v_ios_ipados_i_macos_est_dyra_cherez_kotoruyu_mozhno_vorovat_loginy_i_paroli/
                                                        • ScytheNecris
                                                          У меня вафляй всегда выключен, кроме дома. Как и блутуш, если не использую науши
                                                          • OMOIKANE
                                                            Если бы этот хренов специалист по безопасности не нашёл эту дыру, то о ней никто бы не знал.
                                                            Теперь кулхацкеры могут оттянуться.
                                                            • djlfjdsfsj
                                                              OMOIKANE,
                                                              Почему сразу "хренов"? Нужно говорить спасибо всем тем, кто находит дыры в безопасности.
                                                            • SandrX
                                                              -начальник! я провел аудит нашей сети! у нас дыры в безопасности!
                                                              - отлично! хоть что-то у нас в безопасности!!

                                                              Сотрудники Калифорнийского университета в Ирвине поделились результатами исследования, согласно которому основная часть выбрасываемых во время торможения частиц способна нести электрический заряд и последующий вред для здоровья людей. Эта работа может помочь в борьбе по сдерживанию источников загрязнения в крупных городах.

                                                               

                                                              В рамках специальной презентации компания «Яндекс» анонсировала большое обновление виртуального помощника «Алиса» нового поколения на основе нейросети YandexGPT. Разработчики утверждают, что «Алиса» теперь умеет предлагать идеи и удерживать контекст беседы, а для решения творческих задач была добавлена опция «Про».

                                                               
                                                              <div></div><div></div><a href='/2024/06/15/2852862/' target='_blank'><img src='https://i.4pda.ws/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div>

                                                              По информации издания Forbes, российские сотовые операторы продолжают отключать сети третьего поколения (3G). Связано это с низким спросом на данную технологию, поскольку большинство активных смартфонов в стране уже поддерживают 4G. В перспективе это позволит заметно повысить скорость мобильного интернета.

                                                               
                                                              Госдума отменила «интернет-рабство», Mir Pay удалили из Google Play. Главное за неделю
                                                              139
                                                              30.03.24News

                                                              Разбираем ключевые события прошедших семи дней. В этом выпуске: свежий закон о свободном доступе провайдеров связи, выселение Mir Pay из Google Play и наглядные причины перехода на iPhone 15.

                                                               

                                                              В сети появились рендеры ещё не представленного автомобиля Lada Iskra, которые были найдены в базе патентов Федерального института промышленной собственности. Судя по изображениям, новинка во многом будет похожа на Lada Vesta.

                                                               

                                                              Хосе Энрике, создатель проекта PixelExperience, внезапно объявил о прекращении разработки этой кастомной прошивки для Android-смартфонов. Более 6 лет он с командой единомышленников занимался её развитием, что позволяло владельцам многих устройств получать актуальную версию Android даже после завершения официальной поддержки со стороны производителей.

                                                               

                                                              Пока FromSoftware дразнит геймеров трейлерами дополнения для Elden Ring, истинные фанаты и стримеры вовсю тренируются, чтобы быть готовыми к новым испытаниям. Одна стримерша, например, как раз завершила ультимативный челлендж.

                                                               

                                                              Три месяца назад компания Neuralink впервые в истории вживила чип 29-летнему пациенту по имени Ноланд Арбо. Спустя ровно сто дней стартап Илона Маска сообщил, что часть мозгового импланта вышла из строя. Из-за этого компании пришлось срочно обновлять программное обеспечение.

                                                               

                                                              Госдума во втором чтении одобрила законопроект, регулирующий права между операторами связи и собственниками жилых помещений в многоквартирных домах. Говоря простым языком — вскоре провайдеры получат свободный доступ в подъезды для размещения оборудования.

                                                               

                                                              Благодаря успеху сериала от Amazon и Джонатана Нолана, Fallout нынче постоянно на слуху. Первый сезон шоу все уже обсудили вдоль и поперёк, и теперь фанаты переключились на другие животрепещущие вопросы.

                                                               

                                                              Авторы мобильного бенчмарка AnTuTu подвели итоги марта, определив топ-10 смартфонов под управлением операционной системы Android с наибольшим уровнем удовлетворённости пользователей. К удивлению, в рейтинг попала относительно новая модель. 

                                                               

                                                              Несколько дней назад Гейб Ньюэлл, основатель Valve и де-факто крёстный отец PC-гейминга, вложился в стартап Starfish — компании, занимающейся разработкой нейроинтерфейсов. Новость сама по себе всколыхнула сообщество, однако многих удивил не сам анонс, а фотография Ньюэлла. 

                                                               

                                                              «Безопасники» компании F.A.C.C.T. сообщили, что раскрыли новую схему «угона» аккаунтов в Telegram. Она напоминает некоторые уже известные методы мошенничества, но, по мнению экспертов, опасна даже для опытных пользователей. Издание РБК рассказало всё, что об этом известно.

                                                               

                                                              В конце марта Google удалила приложение Mir Pay из каталога Google Play. Причина — американские санкции в отношении АО «Национальная система платёжных карт» (НСПК), которая обслуживает карты «Мир». В Mir Pay нет автоматического обновления, так что устанавливать апдейты придётся самостоятельно.

                                                               

                                                              Компания Natron Energy запатентовала технологию работы аккумуляторов, основанных на электронах и пригодных для быстрой и частой передачи ионов натрия. Новый метод позволит десятикратно увеличить скорости работы аккумуляторов и повысить их ресурс до 50 000 циклов.

                                                               
                                                              «АвтоВАЗ» представил Lada Iskra. Что под капотом и как выглядит? [ФОТО] Популярное

                                                              Премьера новинки состоялась в рамках ПМЭФ — компания показала автомобиль со всех сторон изнутри и снаружи. Заодно представитель бренда рассказал о характеристиках, позиционировании и философии дизайна фирменной новинки.

                                                               

                                                              Поставщик IT-сервисов Softline сообщил, что новые санкции ЕС повлияют на работу сервисов Microsoft, Amazon, Google и других компаний на территории России. Компания опубликовала все известные подробности о грядущих «отключениях», и рассказала, кого они затронут.

                                                               

                                                              Сотрудники университета Киото продолжают работать над первым в мире лекарством для выращивания зубов. Средство уже успешно протестировали на животных, а теперь исследователи активно готовятся к началу его клинических испытаний, которые стартуют в сентябре текущего года.

                                                               

                                                              Разработчики альтернативного файлового менеджера Files выпустили новую версию приложения с рядом полезных функций и доработок. Они поделились списком изменений и опубликовали ссылки на бесплатное скачивание оригинальной замены стандартного «Проводника».

                                                               
                                                              Новая версия Google Play замедлила смартфоны Samsung. Как это исправить? Популярное

                                                              После майского обновления клиента Google Play пользователи смартфонов Samsung начали сообщать, что их смартфоны стали работать медленнее. Вскоре компания признала проблему на своём официальном форуме и рассказала, как её исправить без каких-либо манипуляций с прошивкой.

                                                               
                                                              Рыбы на китайской космической станции адаптировались к невесомости Популярное

                                                              Четыре рыбки данио отлично себя чувствуют спустя месяц пребывания в космосе на борту китайской космической станции «Тяньгун». Этот эксперимент стал частью программы по адаптации позвоночных животных в условиях микрогравитации.

                                                               

                                                              Как сообщает издание «Коммерсантъ», крупные ритейлеры обратились к Минпромторгу и Генпрокуратуре с просьбой обратить внимание на новую мошенническую схему, в рамках которой покупатели преднамеренно портят технику, а затем получают компенсации через обращение в суд. Утверждается, что речь идёт о сотнях подобных дел, в рамках которых от крупных ритейлеров только за 2023 год было потребовано свыше 1 миллиарда долларов.

                                                               

                                                              Эксперты DxOMark протестировали основную камеру флагманского смартфона Honor Magic6 Pro. Новинка не только установила три рекорда лаборатории, но и стала лидером глобального рейтинга. В DxOMark рассказали, за какие качества смартфон занял первое место.

                                                               

                                                              Samsung знаменита своими неоднозначными отношениями с зарядками: компания одной из первых перестала класть адаптеры в коробку к смартфонам, не наделяет флагманы по-настоящему быстрыми зарядками и теперь сделала ещё один необычный шаг. В продажу поступило зарядное устройство Samsung, которое удивляет своей ценой и характеристиками.

                                                               

                                                              Кристер Хитреус, технолог из Швеции и по совместительству рыбак, разработал гаджет, призванный увеличить улов всем фанатам этого занятия. Предлагаемый им Bluetooth-трекер анализирует такие параметры, как глубину и скорость погружения, температуру воды, уровень освещённости и другие условия, чтобы помочь найти рыбные места.

                                                               

                                                              Как оказалось, преждевременной кончине сериала «Ведьмак» рады не только рядовые поклонники вселенной, но и сами актёры. За всех говорить сложно, но Фрейя Аллан, исполняющая роль Цири, публично призналась в этом.

                                                               

                                                              Авторы портала Hardware Unboxed решили проверить значимость количества видеопамяти в современных играх. И для этого они поочерёдно запускали игры на видеокарте AMD Radeon RX 6500 XT в версиях на 4 и 8 ГБ.