Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Специалист по безопасности Мэти Ванхоф обнаружил две уязвимости в протоколе аутентификации Wi-Fi, позволяющие злоумышленникам перехватывать трафик пользователей в беспроводных сетях. Согласно его отчёту, в зоне риска находятся более 2 миллиардов устройств.

Wi-Fi

Обнаруженные уязвимости связаны с сетевым компонентом wpa_supplicant, который отвечает за аутентификацию в беспроводной сети на различных устройствах. С их помощью злоумышленники могут действовать в обход аутентификации Wi-Fi (без пароля): заставлять гаджеты подключаться к клонированным сетям и «сливать» данные пользователей.

Потенциально «под раздачу» попадают компьютеры под управлением Windows и Chrome OS, а также Android-гаджеты, подключающиеся к публичным беспроводным сетям. Схожая проблема была замечена и в демоне IWD — аналоге wpa_supplicant для Linux.

Самую серьёзную опасность, по словам эксперта, представляет собой «дыра» в wpa_supplicant v2.10 и более ранних версий. Этот компонент используется Android-устройствами для подключения к защищённым паролем сетям Wi-Fi, а также некоторыми компьютерами на Linux и ChromeOS. Потенциально уязвимости CVE-2023-52160 могут быть подвержены до 2,3 млрд пользовательских устройств.

Wi-Fi

Похожая, хоть и не столь масштабная проблема затрагивает корпоративные сети (WPA2-E или WPA3-E), которые обычно используются в школах, больницах и других учреждениях. Уязвимость в IWD (CVE-2023-52161) затрагивает частные сети — она опасна для ПК под управлением Linux.

Для устройств на базе ChromeOS (не старше версии 118) уже вышел патч, закрывающий уязвимость. Комплексного решения для платформы Android пока нет — ожидается, что соответствующий апдейт безопасности будет выпущен в ближайшее время.

Источник: androidheadlines.com


  • kiss1984
    ну и ладно
    • anshi3032
      Представляете сколько было бурлений коричневой массы в комментариях, если бы новость была про устройства Apple?
      • Jurakorni
        anshi3032,
        А причём тут эпл, если это проблема линя?
        • skamaroh14
          Jurakorni,
          Человек пришёл про эпл писать, пофигу, что в статье.
          • sgt.cartman
            Jurakorni,
            и винды.
            • Jurakorni
              sgt.cartman,
              Ну винды потенциально, она wpa supplicant не юзает наверное...
              • adasiko
                sgt.cartman,
                в оригинале Windows нет
                Видать тут глухой телефон
              • Jurakorni,
                Так вроде написано другое "две уязвимости в протоколе аутентификации Wi-Fi" ... =)
                • ffppdda
                  Jurakorni,
                  и андроид и айос на базе ядра линукс сделаны, разные лишь оболочки, где андроид использует весь потенциал, а айос кастрирован по самый лобок
                  • Nikitin_Gs
                    ffppdda,
                    Айос на Дарвине сделан (как и макос), а не на линуксе. Дарвин, в свою очередь является наследником юникса и беркли
                    • Nikitin_Gs
                      ffppdda,
                      Ну и да, тут речь не про ядро, а про конкретную программу, распространяемую отдельно
                  • PMT7077_3G
                    anshi3032,
                    Ну вот ты и забурлил. Помолчал бы и пронесло, но не смог же сдержаться)
                    • Almostdivine
                      anshi3032, ничего, и до него дойдут, наверняка там есть некая преемственность кодовой базы. У меня как-то был прикол с блютуз наушниками лет 15 назад. При попытке подключения к убунте модуль блютуса вываливался с ошибкой. Потом я решил подключить их к макбуку и, о сюрприз, произошло тоже самое с той же ошибкой, хотя казалось бы...
                      • adasiko
                        Almostdivine,
                        ну так прошивка/драйвер Bluetooth модуля и выдали одно и тоже
                        в статье же про уровень выше - там разное

                        (отредактирован)

                      • sprigh
                        anshi3032,
                        "бурлений коричневой массы в комментариях".

                        Ну, вот ты первый и нарисовался забурлив коричневой массой
                        • formaks
                          anshi3032,
                          Вы с этим эплом напоминаете Неуловимого Джо.
                          Знаешь почему он неуловим?
                          • Amadeus666
                            anshi3032,
                            а про ведро бурления нет, ибо в ведре дыр как в решете, к этому все привыкли давно, это норма и "Вы не понимаете, это другое!"
                            • djlfjdsfsj
                              anshi3032,
                              Я не представляю ни одну статью, где бы писалось про Windows/Linux/Android/etc, а в комментариях не нашелся ни один яблочный фанат, который бы хотел написать подобный комментарий, начиная со слова "представляете" и что-то потом про "коричневые массы" добавляя. Такое я уже видел триллионы раз.

                              P.S.
                              Сейчас меня флэшбэком откинуло к идущему к реке и рассуждению Жака Фреско о боге из видеоролика на YouTube "Когда бог тебя шлёт на*ер" (на самом деле я его несколько минут назад посмотрел, перед тем как со смартфоном пошел в клозет и стал читать новости на 4PDA).

                              P.S.2
                              Ну а если по теме, то ни одна из не-яблочных ОС и близко себя не рекламирует как "самую безопасную", как это обычно делают яблочники, особенно что касается ОС на мобильной платформе, где яблочные гаджеты с iOS не без помощи таких нарративов и заняли свою нишу на рынке. Поэтому в данном случае меня бы не удивило, если бы люди особо активничали в комментариях, если бы речь шла о дырах в безопасности iOS. Ведь яблочная корпорация сама придумала себе на голову стереотипы, из-за несоответствия которым народ может ее гнобить.
                            • Perfumero
                              Чушь, у пользователей android и linux нечего красть.
                              • DaimonJV
                                Perfumero,
                                Да хватит уже.джипег
                                • Perfumero
                                  DaimonJV,
                                  Скорее... Да заткнись ты уже.джипег))
                                • Perfumero,
                                  Т.е по вашему 20 гиговый пак по млп это ничего?
                                  • vsaR1SK
                                    cdtj,
                                    А у тебя что, своего нет?
                                    • adasiko
                                      cdtj,
                                      мало же
                                      • арс чёткий
                                        cdtj,
                                        Это Лгбт. Потому что радуга, дружба магия и прочее. Срочно удаляй! А лучше сожги на костре свой смартфон
                                    • root.moscow
                                      "Никогда так не было и вот опять"
                                      • chucha998
                                        Ну перехватили трафик. Он щас весь шифрованный, смысл какой в перехвате той каши что пойдёт через поддельную точку доступа?
                                        • Namles
                                          chucha998,
                                          Вы полностью правы! Статья как обычно для шума)))
                                          • Nikitin_Gs
                                            chucha998,
                                            Так очень просто. Понять какие сайты посещает можно спокойно, подставить свои сайты – тоже, а там уже всё – полный доступ
                                          • Consence
                                            Кто эти злоумышленники? Ни одного не могут поймать и посадить в тюрьму, значит их там нет.
                                            • bober1976
                                              интересно, как "патч для андроида" выпустят, учитывая, что на каждом устройстве он частично свой, не говоря уж про разные версии оси...

                                              есть мысль, что дырой пользовались давно, ток внезапно решили прикрыть зачем-то
                                              • kmivang
                                                bober1976,
                                                OK, google: "project treble"
                                                • bober1976
                                                  kmivang,
                                                  cпасибо. интересно.
                                                  Но, говорят, даже с проектом mainline не получилось достичь этого.
                                                  habr.com/ru/companies/orioninc/articles/561118/
                                              • UnregisterBot
                                                кофемолки дудосят майкрософт. Опять. В очередной раз. И холодильники майнят хакерам.
                                                • UnregisterBot,
                                                  Зубные Щетки забыл😉🤣🤣,Самые Страшные Хакеры
                                                • Seilenos
                                                  А что там с iOS? Ах, да, совсем забыл
                                                • Dobryachok12
                                                  Я не подключаю свои девайсы к публичным сетям. Мобильный тырнет пашет нормально.
                                                  Если бы речь шла обо всех роутерах
                                                  • FcTheSystem
                                                    Помню еще в 2012 году тему вайфай снифферов проштудировал и с планшета на площади города подрубился в публичной сети халявной. Перехватил данные чьи-то и это оказалась девочка какая-то, что сидела в одноклассниках через браузер, а не приложение. Как раз браузерные сессии и легче всего перехватить (сейчас не знаю. Как то приложение, перестало работать, которым пользовался, так и забыл про это). Написал ей сообщение самой себе в одноклассниках, что не надо сидеть в халявном вайфае без зашиты) Сразу почти устройство из сети пропало)) Интересно, до сих пор так можно?

                                                    (отредактирован)

                                                    • adasiko
                                                      FcTheSystem,
                                                      За прошедшие десять лет медленно, но уверенно считай все сайты перешили на https.
                                                      Тоесть из-за шифрования такой простой скрипткидовый приём уже не сработает.

                                                      Но если пользователь зайдёт на какой-то старый/небезопасный http сайт с вводом паролей, то сработает.

                                                      (отредактирован)

                                                    • ran4erep
                                                      в Wi-Fi давно уже есть дыра. Любой школьник, имеющий Wi-Fi адаптер, может получать трафик с вашей точки доступа, включая пароль от неё
                                                      • sprigh
                                                        Seilenos,
                                                        Ты сайт попутал. Тебе сюда ➡️_iguides.ru/main/security/v_ios_ipados_i_macos_est_dyra_cherez_kotoruyu_mozhno_vorovat_loginy_i_paroli/
                                                        • ScytheNecris
                                                          У меня вафляй всегда выключен, кроме дома. Как и блутуш, если не использую науши
                                                          • OMOIKANE
                                                            Если бы этот хренов специалист по безопасности не нашёл эту дыру, то о ней никто бы не знал.
                                                            Теперь кулхацкеры могут оттянуться.
                                                            • djlfjdsfsj
                                                              OMOIKANE,
                                                              Почему сразу "хренов"? Нужно говорить спасибо всем тем, кто находит дыры в безопасности.
                                                            • SandrX
                                                              -начальник! я провел аудит нашей сети! у нас дыры в безопасности!
                                                              - отлично! хоть что-то у нас в безопасности!!

                                                              Компания объявила о выпуске «премиальной» версии фирменного браузера, распространяемой по модели платной подписки. Она ориентирована на корпоративное использование, и отличается от базовой сборки с приставкой Enterprise расширенным набором функций. В блоге Google появилось подробное описание приложения и данные о новом тарифе.

                                                               

                                                              В конце марта Google удалила приложение Mir Pay из каталога Google Play. Причина — американские санкции в отношении АО «Национальная система платёжных карт» (НСПК), которая обслуживает карты «Мир». В Mir Pay нет автоматического обновления, так что устанавливать апдейты придётся самостоятельно.

                                                               
                                                              <div></div><div></div><div></div><a href='/2024/05/30/5529529/' target='_blank'><img src='https://4pda.to/s/qirtfUwtBev9eEU8GVFENUQoQBQLz2cPoNHqXLxZut46cnf8yyBG2ywpr.jpg' title='' /></a><div ><img src='https://4pda.to/s/qirthYGVuGYI86Wu5KuraqWbOz0.gif' /></div><div></div><div></div>

                                                              Портал Android Authority обнаружил в коде бета-версии Android 15 любопытную функцию, которая пока не была анонсирована Google. Она позволит улучшить автономность смартфона за счёт нового алгоритма работы дисплея, сокращающего время активности последнего.

                                                               

                                                              Миф о человеческом глазе, который не различает больше 30 кадров в секунду, когда-то воспринимался всерьёз, но сейчас закрепился в массовом сознании как шутка. А вот и не совсем: учёные доказали, что некоторые люди действительно не способны воспринимать высокую частоту кадров.

                                                               

                                                              Спустя всего пару дней после поручения президента РФ по созданию отечественной консоли стали известны её характеристики. Железо новинки вызывает вопросы такого масштаба, что новость уважаемого издания «Известия» впору считать за утку.

                                                               

                                                              Правительство утвердило полосу радиочастот 4400–4990 МГц для развития 5G. Это не самый популярный диапазон: почти во всём мире для 5G используют 3400–3800 МГц. Вот почему заметная часть смартфонов не сможет работать в российских сетях пятого поколения.

                                                               

                                                              Компания MSI представила бюджетную материнскую плату PRO A620M-C EX с процессорным разъёмом AM5. Её главная особенность — сочетание старых и новых технологий. Например, она поддерживает память DDR5-7800 и одновременно оснащена портами D-Sub и RS-232.

                                                               

                                                              Представители Сбербанка рассказали об обновлённой схеме, которой пользуются злоумышленники для оформления займов в микрофинансовых организациях. Теперь в ход идут мессенджеры и портал «Госуслуги».

                                                               

                                                              Аналитический портал Statcounter обновил статистику распространения мобильных и десктопных браузеров по итогам апреля 2024 года. Чуда не произошло и лидером по-прежнему остаётся Google Chrome, но и его конкуренты немного нарастили аудиторию.

                                                               

                                                              Компания ZTE выпустила недорогой смартфон Changxing 60 с интересным набором характеристик. Новинка поставляется с Android-интерфейсом под кнопочную звонилку, оснащается неплохим для своей цены объёмом памяти и современным разъёмом USB Type-C, а также поддерживает сети 5G.

                                                               

                                                              На носу премьера экранизации Fallout от Amazon, и рекламная кампания сериала подходит к кульминации. На сей раз авторы шоу решили поделиться новыми (и весьма любопытными!) кадрами проекта.

                                                               

                                                              В магазине Google появилось любопытное приложение, ориентированное на пользователей, ностальгирующих по «плиточному» интерфейсу Windows Phone. В отличие от ряда подобных лончеров, оно не просто стилизует интерфейс домашнего экрана Android, а модернизирует его с помощью виджетов.

                                                               

                                                              Подводя итоги февраля, разработчики бенчмарка AnTuTu составили рейтинг самых производительных Android-смартфонов среднего уровня. И если зачастую разница между моделями достаточно условная, то в этот раз есть однозначный лидер, сильно опережающий всех других.

                                                               

                                                              Пиксельный симулятор фермера Stardew Valley от разработчика-одиночки быстро покорил мир и разошёлся тиражом более 30 млн копий за восемь лет. Однако автор игры не считает это своим огромным достижением и продолжает трудиться.

                                                               

                                                              Разработчики WhatsApp обновили мессенджер и добавили новую функцию — возможность иметь одновременно два аккаунта на одном устройстве. Также в блоге мессенджера появилась инструкция по добавлению второго номера и скриншот того, как выглядит переключение между профилями.

                                                               
                                                              Хороший дисплей в недорогом смартфоне — иллюзия или реальность? Изучаем экран Infinix NOTE 40 Pro Популярное
                                                              67
                                                              23.05.24News

                                                              Не стоит ожидать, что в смартфоны среднего класса начнут устанавливать флагманские матрицы: кто же тогда купит топовое устройство? Однако в сегменте от 18 до 28 тысяч рублей уже нетрудно найти модель с экраном, качество и характеристики которого устроят большинство пользователей. Рассказываем, чем цепляет дисплей в недавно вышедшем Infinix NOTE 40 Pro.

                                                               

                                                              Три месяца назад компания Neuralink впервые в истории вживила чип 29-летнему пациенту по имени Ноланд Арбо. Спустя ровно сто дней стартап Илона Маска сообщил, что часть мозгового импланта вышла из строя. Из-за этого компании пришлось срочно обновлять программное обеспечение.

                                                               
                                                              Блогер показал, почему Windows XP не стоит использовать в 2024-м [ВИДЕО] Популярное

                                                              Техноблогер Эрик Паркер опубликовал любопытный видеоролик: он демонстрирует, насколько Windows XP отстала от времени в контексте защиты от вредоносных программ. Как оказалось, достаточно просто подключить компьютер к интернету — и уже через несколько минут состояние системы станет весьма печальным.

                                                               

                                                              Портал «Код Дурова» обнаружил в свежей бета-версии Telegram для Android новые функции, о которых пока ещё не было объявлено официально. Среди них — глобальный поиск по хэштегам, анимации сообщений и некоторые визуальные изменения.

                                                               
                                                              Мощный и недорогой POCO F6 временно доступен по сниженной цене Популярное

                                                              У нового POCO F6 есть все шансы стать новым народным любимцем. У него мощный процессор, качественный экран с высокой частотой обновления, ёмкий аккумулятор с поддержкой быстрой зарядки и камера с оптической стабилизацией. И всё это приправлено невысокой ценой, которая дополнительно снижена в честь начала продаж.

                                                               

                                                              Microsoft давно сотрудничает с OpenAI. Так, на базе технологий стартапа работает чат-бот Microsoft Copilot. Хотя OpenAI продаёт доступ к своей самой передовой языковой модели за деньги, редмондская корпорация решила порадовать юзеров и встроила GPT-4 Turbo в бесплатный тариф Copilot.

                                                               
                                                              В Google Play появился новый способ покупки приложений Популярное

                                                              В магазине Google Play появился альтернативный метод получения платного софта без использования банковской карты или мобильного счёта. Теперь пользователь, выбрав соответствующую опцию, может попросить своего друга заплатить за покупку того или иного приложения вместо себя.

                                                               

                                                              В тестовой сборке Windows 11 появилось полезное нововведение, улучшающее спорный интерфейс меню «Пуск». Оно сочетает в себе классический прокручиваемый список приложений с новым дизайном иконок — портал Neowin показал, как это выглядит.

                                                               

                                                              Нынешний генеральный директор Intel Пэт Гелсингер в прошлом был одним из ключевых инженеров-конструкторов компании и принимал участие в разработке процессора i386 (Intel 80386). Очевидно, в то время 24-летний разработчик мечтал оставить свой след в истории и поэтому «расписался» на каждом выпущенном CPU.

                                                               

                                                              По данным «Коммерсанта», ссылающегося на представителей маркетплейсов и ритейлеров, в России растут продажи накопителей и модулей оперативной памяти. Эксперты объясняют это желанием покупателей модернизировать ноутбуки исходя из собственных потребностей.

                                                               

                                                              Известная своими защищёнными устройствами компания Oukitel приняла участие в большой весенней распродаже на AliExpress. В честь этого ряд моделей бренда можно приобрести по сниженным ценам. Например, со скидкой доступны планшет RT8 и смартфон WP36 с ёмкими аккумуляторами и повышенной долговечностью.

                                                               

                                                              В своё время Samsung выпустила веб-приложение Try Galaxy, которое имитирует прошивку One UI на iPhone, позволяя ознакомиться с её преимуществами. Теперь оно стало доступно и на платформе Android — компания рассказала, где его найти и как запустить.

                                                               
                                                              Бетон нового поколения использует 80% золы вместо цемента Популярное

                                                              Сотрудники Мельбурнского королевского технологического университета (RMIT) представили новый тип экологичного бетона, где используется вдвое больше переработанной угольной золы в сравнении с существующими низкоуглеродистыми аналогами. Таким образом, материал требует вдвое меньше цемента для производства, а его прочностные показатели превосходят классический бетон.

                                                               

                                                              Разработчики WhatsApp представили новую функцию мессенджера, призванную улучшить конфиденциальность общения при использовании голосовых сообщений. Теперь они смогут самоуничтожаться после прослушивания, снижая риск утечки личной переписки.

                                                               

                                                              Команда разработчиков Microsoft рассказала о важном изменении, которое избавляет популярнейший офисный редактор от раздражающей функции. Речь идёт об одном из параметров вставки по умолчанию в Word для Windows.

                                                               

                                                              Список злоключений принтеров американского бренда пополнился очередным пунктом. В дополнение к отключению печати за использование неоригинальных расходников техника HP научилась выдвигать своим владельцам ультиматум с требованием установить «шпионское» программное обеспечение для продолжения работы.

                                                               

                                                              Астрологи объявили неделю Fallout — после выхода сериала главный дизайнер Bethesda Эмиль Пальяруло тоже захотел внести свой вклад в канон вселенной. Он заявил, что Fallout и Fallout 4 связаны, просто геймеры об этом не догадывались.