Ш≠†
Ќайдена Ђдыраї в Wi-Fi дл€ кражи данных с устройств на Android и Linux

Ќайдена Ђдыраї в Wi-Fi дл€ кражи данных с устройств на Android и Linux

—пециалист по безопасности ћэти ¬анхоф обнаружил две у€звимости в протоколе аутентификации Wi-Fi, позвол€ющие злоумышленникам перехватывать трафик пользователей в беспроводных сет€х. —огласно его отчЄту, в зоне риска наход€тс€ более 2 миллиардов устройств.

Wi-Fi

ќбнаруженные у€звимости св€заны с сетевым компонентом wpa_supplicant, который отвечает за аутентификацию в беспроводной сети на различных устройствах. — их помощью злоумышленники могут действовать в обход аутентификации Wi-Fi (без парол€): заставл€ть гаджеты подключатьс€ к клонированным сет€м и Ђсливатьї данные пользователей.

ѕотенциально Ђпод раздачуї попадают компьютеры под управлением Windows и Chrome OS, а также Android-гаджеты, подключающиес€ к публичным беспроводным сет€м. —хожа€ проблема была замечена и в демоне IWD Ч аналоге wpa_supplicant дл€ Linux.

—амую серьЄзную опасность, по словам эксперта, представл€ет собой Ђдыраї в wpa_supplicant v2.10 и более ранних версий. Ётот компонент используетс€ Android-устройствами дл€ подключени€ к защищЄнным паролем сет€м Wi-Fi, а также некоторыми компьютерами на Linux и ChromeOS. ѕотенциально у€звимости CVE-2023-52160 могут быть подвержены до 2,3 млрд пользовательских устройств.

Wi-Fi

ѕохожа€, хоть и не столь масштабна€ проблема затрагивает корпоративные сети (WPA2-E или WPA3-E), которые обычно используютс€ в школах, больницах и других учреждени€х. ”€звимость в IWD (CVE-2023-52161) затрагивает частные сети Ч она опасна дл€ ѕ  под управлением Linux.

ƒл€ устройств на базе ChromeOS (не старше версии 118) уже вышел патч, закрывающий у€звимость.  омплексного решени€ дл€ платформы Android пока нет Ч ожидаетс€, что соответствующий апдейт безопасности будет выпущен в ближайшее врем€.

»сточник: androidheadlines.com


  • kiss1984
    ну и ладно
    • anshi3032
      ѕредставл€ете сколько было бурлений коричневой массы в комментари€х, если бы новость была про устройства Apple?
      • Jurakorni
        anshi3032,
        ј причЄм тут эпл, если это проблема лин€?
        • skamaroh14
          Jurakorni,
          „еловек пришЄл про эпл писать, пофигу, что в статье.
          • sgt.cartman
            Jurakorni,
            и винды.
            • Jurakorni
              sgt.cartman,
              Ќу винды потенциально, она wpa supplicant не юзает наверное...
              • adasiko
                sgt.cartman,
                в оригинале Windows нет
                ¬идать тут глухой телефон
              • Jurakorni,
                “ак вроде написано другое "две у€звимости в протоколе аутентификации Wi-Fi" ... =)
                • ffppdda
                  Jurakorni,
                  и андроид и айос на базе €дра линукс сделаны, разные лишь оболочки, где андроид использует весь потенциал, а айос кастрирован по самый лобок
                  • Nikitin_Gs
                    ffppdda,
                    јйос на ƒарвине сделан (как и макос), а не на линуксе. ƒарвин, в свою очередь €вл€етс€ наследником юникса и беркли
                    • Nikitin_Gs
                      ffppdda,
                      Ќу и да, тут речь не про €дро, а про конкретную программу, распростран€емую отдельно
                  • PMT7077_3G
                    anshi3032,
                    Ќу вот ты и забурлил. ѕомолчал бы и пронесло, но не смог же сдержатьс€)
                    • Almostdivine
                      anshi3032, ничего, и до него дойдут, наверн€ка там есть нека€ преемственность кодовой базы. ” мен€ как-то был прикол с блютуз наушниками лет 15 назад. ѕри попытке подключени€ к убунте модуль блютуса вываливалс€ с ошибкой. ѕотом € решил подключить их к макбуку и, о сюрприз, произошло тоже самое с той же ошибкой, хот€ казалось бы...
                      • adasiko
                        Almostdivine,
                        ну так прошивка/драйвер Bluetooth модул€ и выдали одно и тоже
                        в статье же про уровень выше - там разное

                        (отредактирован)

                      • sprigh
                        anshi3032,
                        "бурлений коричневой массы в комментари€х".

                        Ќу, вот ты первый и нарисовалс€ забурлив коричневой массой
                        • formaks
                          anshi3032,
                          ¬ы с этим эплом напоминаете Ќеуловимого ƒжо.
                          «наешь почему он неуловим?
                          • Amadeus666
                            anshi3032,
                            а про ведро бурлени€ нет, ибо в ведре дыр как в решете, к этому все привыкли давно, это норма и "¬ы не понимаете, это другое!"
                            • djlfjdsfsj
                              anshi3032,
                              я не представл€ю ни одну статью, где бы писалось про Windows/Linux/Android/etc, а в комментари€х не нашелс€ ни один €блочный фанат, который бы хотел написать подобный комментарий, начина€ со слова "представл€ете" и что-то потом про "коричневые массы" добавл€€. “акое € уже видел триллионы раз.

                              P.S.
                              —ейчас мен€ флэшбэком откинуло к идущему к реке и рассуждению ∆ака ‘реско о боге из видеоролика на YouTube " огда бог теб€ шлЄт на*ер" (на самом деле € его несколько минут назад посмотрел, перед тем как со смартфоном пошел в клозет и стал читать новости на 4PDA).

                              P.S.2
                              Ќу а если по теме, то ни одна из не-€блочных ќ— и близко себ€ не рекламирует как "самую безопасную", как это обычно делают €блочники, особенно что касаетс€ ќ— на мобильной платформе, где €блочные гаджеты с iOS не без помощи таких нарративов и зан€ли свою нишу на рынке. ѕоэтому в данном случае мен€ бы не удивило, если бы люди особо активничали в комментари€х, если бы речь шла о дырах в безопасности iOS. ¬едь €блочна€ корпораци€ сама придумала себе на голову стереотипы, из-за несоответстви€ которым народ может ее гнобить.
                            • Perfumero
                              „ушь, у пользователей android и linux нечего красть.
                              • DaimonJV
                                Perfumero,
                                ƒа хватит уже.джипег
                                • Perfumero
                                  DaimonJV,
                                  —корее... ƒа заткнись ты уже.джипег))
                                • Perfumero,
                                  “.е по вашему 20 гиговый пак по млп это ничего?
                                  • vsaR1SK
                                    cdtj,
                                    ј у теб€ что, своего нет?
                                    • adasiko
                                      cdtj,
                                      мало же
                                      • арс чЄткий
                                        cdtj,
                                        Ёто Ћгбт. ѕотому что радуга, дружба маги€ и прочее. —рочно удал€й! ј лучше сожги на костре свой смартфон
                                    • root.moscow
                                      "Ќикогда так не было и вот оп€ть"
                                      • chucha998
                                        Ќу перехватили трафик. ќн щас весь шифрованный, смысл какой в перехвате той каши что пойдЄт через поддельную точку доступа?
                                        • Namles
                                          chucha998,
                                          ¬ы полностью правы! —тать€ как обычно дл€ шума)))
                                          • Nikitin_Gs
                                            chucha998,
                                            “ак очень просто. ѕон€ть какие сайты посещает можно спокойно, подставить свои сайты Ц тоже, а там уже всЄ Ц полный доступ
                                          • Consence
                                             то эти злоумышленники? Ќи одного не могут поймать и посадить в тюрьму, значит их там нет.
                                            • bober1976
                                              интересно, как "патч дл€ андроида" выпуст€т, учитыва€, что на каждом устройстве он частично свой, не говор€ уж про разные версии оси...

                                              есть мысль, что дырой пользовались давно, ток внезапно решили прикрыть зачем-то
                                              • kmivang
                                                bober1976,
                                                OK, google: "project treble"
                                                • bober1976
                                                  kmivang,
                                                  cпасибо. интересно.
                                                  Ќо, говор€т, даже с проектом mainline не получилось достичь этого.
                                                  habr.com/ru/companies/orioninc/articles/561118/
                                              • UnregisterBot
                                                кофемолки дудос€т майкрософт. ќп€ть. ¬ очередной раз. » холодильники майн€т хакерам.
                                                • UnregisterBot,
                                                  «убные ўетки забыл😉🤣🤣,—амые —трашные ’акеры
                                                • Seilenos
                                                  ј что там с iOS? јх, да, совсем забыл
                                                • Dobryachok12
                                                  я не подключаю свои девайсы к публичным сет€м. ћобильный тырнет пашет нормально.
                                                  ≈сли бы речь шла обо всех роутерах
                                                  • FcTheSystem
                                                    ѕомню еще в 2012 году тему вайфай снифферов проштудировал и с планшета на площади города подрубилс€ в публичной сети хал€вной. ѕерехватил данные чьи-то и это оказалась девочка кака€-то, что сидела в одноклассниках через браузер, а не приложение.  ак раз браузерные сессии и легче всего перехватить (сейчас не знаю.  ак то приложение, перестало работать, которым пользовалс€, так и забыл про это). Ќаписал ей сообщение самой себе в одноклассниках, что не надо сидеть в хал€вном вайфае без зашиты) —разу почти устройство из сети пропало)) »нтересно, до сих пор так можно?

                                                    (отредактирован)

                                                    • adasiko
                                                      FcTheSystem,
                                                      «а прошедшие дес€ть лет медленно, но уверенно считай все сайты перешили на https.
                                                      “оесть из-за шифровани€ такой простой скрипткидовый приЄм уже не сработает.

                                                      Ќо если пользователь зайдЄт на какой-то старый/небезопасный http сайт с вводом паролей, то сработает.

                                                      (отредактирован)

                                                    • ran4erep
                                                      в Wi-Fi давно уже есть дыра. Ћюбой школьник, имеющий Wi-Fi адаптер, может получать трафик с вашей точки доступа, включа€ пароль от неЄ
                                                      • sprigh
                                                        Seilenos,
                                                        “ы сайт попутал. “ебе сюда ➡️_iguides.ru/main/security/v_ios_ipados_i_macos_est_dyra_cherez_kotoruyu_mozhno_vorovat_loginy_i_paroli/
                                                        • ScytheNecris
                                                          ” мен€ вафл€й всегда выключен, кроме дома.  ак и блутуш, если не использую науши
                                                          • OMOIKANE
                                                            ≈сли бы этот хренов специалист по безопасности не нашЄл эту дыру, то о ней никто бы не знал.
                                                            “еперь кулхацкеры могут отт€нутьс€.
                                                            • djlfjdsfsj
                                                              OMOIKANE,
                                                              ѕочему сразу "хренов"? Ќужно говорить спасибо всем тем, кто находит дыры в безопасности.
                                                            • SandrX
                                                              -начальник! € провел аудит нашей сети! у нас дыры в безопасности!
                                                              - отлично! хоть что-то у нас в безопасности!!

                                                              —писок злоключений принтеров американского бренда пополнилс€ очередным пунктом. ¬ дополнение к отключению печати за использование неоригинальных расходников техника HP научилась выдвигать своим владельцам ультиматум с требованием установить Ђшпионскоеї программное обеспечение дл€ продолжени€ работы.

                                                               
                                                              <div></div><a href='/2024/05/24/2852862/' target='_blank'><img src='https://4pda.to/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div>

                                                              Resizable BAR Ч это технологи€, позвол€юща€ процессору обращатьс€ ко всему объЄму видеопам€ти. —тарое железо еЄ не поддерживает, но пользователь GitHub под ником xCuri0 решил это исправить. ќн написал и выложил в открытый доступ утилиту ReBarUEFI, котора€, по его словам, способна заметно повысить производительность некоторых игр.

                                                               

                                                              —бер объ€вил о запуске полезной функции дл€ тех, кто не любит носить с собой банковскую карту. “еперь клиенты банка могут не только сн€ть наличные, но и пополнить ими свой счЄт в банкомате при помощи мобильного приложени€ без использовани€ Ђпластикаї.

                                                               

                                                              Ќа носу премьера экранизации Fallout от Amazon, и рекламна€ кампани€ сериала подходит к кульминации. Ќа сей раз авторы шоу решили поделитьс€ новыми (и весьма любопытными!) кадрами проекта.

                                                               

                                                              »лон ћаск по€вилс€ в подкасте Joe Rogan Experience на Spotify в специальном хэллоуинском эпизоде, где поведал много чего интересного. ¬ частности, миллиардер рассказал, почему не видит смысла покрывать электрокары Tesla солнечными панел€ми

                                                               

                                                              –азработчики WhatsApp представили новую функцию мессенджера, призванную улучшить конфиденциальность общени€ при использовании голосовых сообщений. “еперь они смогут самоуничтожатьс€ после прослушивани€, снижа€ риск утечки личной переписки.

                                                               

                                                              »звестна€ своими защищЄнными устройствами компани€ Oukitel прин€ла участие в большой весенней распродаже на AliExpress. ¬ честь этого р€д моделей бренда можно приобрести по сниженным ценам. Ќапример, со скидкой доступны планшет RT8 и смартфон WP36 с Ємкими аккумул€торами и повышенной долговечностью.

                                                               

                                                              Ќакануне Microsoft отказалась от поддержки эмул€тора Android дл€ Windows 11, не объ€сн€€ причин такого решени€. ќдин из сотрудников компании решил это исправить, и опубликовал в X пост, частично проливающий свет на Ђпохороныї этой функции ќ—.

                                                               

                                                              Excel Ч могущественна€ программа, котора€ может всЄ: подсчитывать расходы, оформл€ть таблицы, мотать люд€м нервы. ќднако далеко не каждый знает, что она подходит и дл€ создани€ видеоигр. ‘анатеющий от Fallout энтузиаст решил всем об этом напомнить.

                                                               

                                                              ¬ бета-версии WhatsApp Android 2.24.9.22 специалисты WABetaInfo обнаружили упоминани€ новых функций. ќдна из них наиболее интересна и затрагивает новый способ обмена файлами между пользовател€ми мессенджера.

                                                               

                                                              ѕодвод€ итоги феврал€, разработчики бенчмарка AnTuTu составили рейтинг самых производительных Android-смартфонов среднего уровн€. » если зачастую разница между модел€ми достаточно условна€, то в этот раз есть однозначный лидер, сильно опережающий всех других.

                                                               
                                                              “вЄрдо и чЄтко. Take-Two уточнила дату релиза GTA VI ѕопул€рное

                                                              ¬ декабре Rockstar показала дебютный трейлер Grand Theft Auto VI. ¬ нЄм компани€ указала, что игра выйдет в 2025 году. –азумеетс€, геймеры прекрасно пон€ли, что скорее всего дата запуска будет потихоньку отъезжать всЄ дальше и дальше Ч и, как видно, процесс уже пошЄл.

                                                               
                                                              ¬се три версии Google Pixel 9 показали на реальных снимках [‘ќ“ќ] ѕопул€рное

                                                              ¬ сети по€вилась сери€ фотографий всех трЄх смартфонов ещЄ не представленной серии Google Pixel 9. ѕомимо базовой модели и Ђпрошкиї, инсайдеры показали и версию Pro XL. ƒизайн гаджета выгл€дит знакомым, но сам он будет крупнее других представителей линейки.

                                                               
                                                              ” первого пациента c чипом Neuralink возникли проблемы ѕопул€рное

                                                              “ри мес€ца назад компани€ Neuralink впервые в истории вживила чип 29-летнему пациенту по имени Ќоланд јрбо. —пуст€ ровно сто дней стартап »лона ћаска сообщил, что часть мозгового импланта вышла из стро€. »з-за этого компании пришлось срочно обновл€ть программное обеспечение.

                                                               

                                                              –азработчики альтернативного файлового менеджера Files выпустили новую версию приложени€ с р€дом полезных функций и доработок. ќни поделились списком изменений и опубликовали ссылки на бесплатное скачивание оригинальной замены стандартного Ђѕроводникаї.

                                                               
                                                              √осдума отменила Ђинтернет-рабствої, Mir Pay удалили из Google Play. √лавное за неделю
                                                              139
                                                              30.03.24News

                                                              –азбираем ключевые событи€ прошедших семи дней. ¬ этом выпуске: свежий закон о свободном доступе провайдеров св€зи, выселение Mir Pay из Google Play и нагл€дные причины перехода на iPhone 15.

                                                               
                                                              NASA показало, как выгл€д€т чЄрные дыры изнутри [¬»ƒ≈ќ] ѕопул€рное

                                                              —озданна€ специалистами NASA с помощью компьютерного моделировани€ визуализаци€ позвол€ет виртуально погрузитьс€ в центр горизонта событий Ч точку невозврата дл€ любого, кто потенциально смог бы оказатьс€ внутри чЄрной дыры. ѕо словам учЄных, внутри этой структуры искажаетс€ не только пространство, но и врем€.

                                                               

                                                               аталог цифровой техники Xiaomi пополнила камера наружного наблюдени€ CW500. ѕомимо практичной конструкции, новинка интересна продвинутыми программными возможност€ми. ќна получила поддержку »»-функций благодар€ чему способна фиксировать приближение человека или автомобил€.

                                                               

                                                              ѕосле релиза iPhone 14 Pro всЄ больше вендоров перенимают технологию спутниковой св€зи. Ќа дн€х с этим нововведением дебютировал Xiaomi 14 Ultra. –ассказываем, в каких случа€х может выручить спутникова€ коммуникаци€ и как она работает.

                                                               

                                                              »нженер √абриэль ‘ерраза модифицировал недорогой SSD, превратив его в SLC-накопитель. ”мелец смог преобразовать QLC-пам€ть в SSD Crucial BX500 в pSLC, при этом увеличив ресурс его €чеек пам€ти в 30 раз. 

                                                               

                                                              јвтор YouTube-канала Samuel Nam провЄл необычный эксперимент, отказавшись от своего 16-дюймового MacBook Pro на M1 Max в пользу Samsung Galaxy S24 Ultra. ¬ течение трЄх недель он использовал флагманский смартфон в качестве полноценной замены компьютеру дл€ выполнени€ всей повседневной активности.

                                                               

                                                               оманда разработчиков Microsoft рассказала о важном изменении, которое избавл€ет попул€рнейший офисный редактор от раздражающей функции. –ечь идЄт об одном из параметров вставки по умолчанию в Word дл€ Windows.

                                                               

                                                              ¬ конце прошлой недели CD Projekt RED анонсировала новый патч дл€ Cyberpunk 2077, призванный исправить Ђсамые частые проблемы, о которых сообщали игрокиї. ѕравки действительно не заставили себ€ долго ждать.

                                                               

                                                              »нсайдер Digital Chat Station опубликовал любопытный аналитический отчЄт о текущем положении дел на рынке смартфонов. ќн отметил, что ещЄ недавно ставший рекордом объЄм оперативной пам€ти Android-смартфонов не спешит обновл€тьс€. Ѕолее того, производители гаджетов всЄ чаще Ђзанижаютї этот показатель Ч и, по мнению инсайдера, делают это осознанно.

                                                               

                                                              ¬ыпустив в феврале свой Ђпоследнийї смартфон, китайска€ компани€ Meizu презентовала новую модель 21 Note. јппарат сохранил фирменный дизайн предыдущих устройств бренда и предлагает продвинутые характеристики с мощной начинкой по относительно доступной цене.

                                                               

                                                              Ќедавно представленный Samsung Galaxy A55 получил не так много отличий от предшественника, но одним из них стал новый процессор Exynos 1480 с графическим чипом Xclipse 530 на базе архитектуры AMD RDNA2. ¬ сети уже по€вились игровые тесты этого аппарата.

                                                               

                                                               ак сообщает издание Ђ оммерсантъї, крупные ритейлеры обратились к ћинпромторгу и √енпрокуратуре с просьбой обратить внимание на новую мошенническую схему, в рамках которой покупатели преднамеренно порт€т технику, а затем получают компенсации через обращение в суд. ”тверждаетс€, что речь идЄт о сотн€х подобных дел, в рамках которых от крупных ритейлеров только за 2023 год было потребовано свыше 1 миллиарда долларов.

                                                               

                                                               анадска€ компани€ Sandvine поделилась статистикой веб-трафика, котора€ показывает его распределение по  объЄму.  ак оказалось, протокол BitTorrent переживает не лучшие времена Ч его изр€дно потеснили сразу несколько попул€рных онлайн-площадок.

                                                               
                                                              Google запустила Chrome OS на Android-смартфоне.  ак это выгл€дит? ѕопул€рное

                                                              Google провела любопытный эксперимент по запуску фирменной операционной системы ChromeOS на мобильных устройствах, Ђзаточенныхї под Android. ѕервым подопытным стал смартфон Pixel Ч как на нЄм работает десктопна€ операционка, компани€ показала в рамках закрытого презентационного меропри€ти€.

                                                               

                                                              ћедиатека оставшихс€ в –оссии онлайн-кинотеатров сильно сократилась. ÷елесообразность оплаты подписок всегда сто€ла под вопросом, а теперь Ч в особенности.   счастью, есть способы получить бесплатный доступ к фильмам и сериалам без ущерба дл€ правообладателей.

                                                               

                                                              јвторы портала Hardware Unboxed решили проверить значимость количества видеопам€ти в современных играх. » дл€ этого они поочерЄдно запускали игры на видеокарте AMD Radeon RX 6500 XT в верси€х на 4 и 8 √Ѕ.

                                                               

                                                              ќбладатели бюджетных моделей смарт-телевизоров от SberDevices обратили внимание на то, что с недавним обновлением программного обеспечени€ картинка стала не такой чЄткой. ќказалось, что производитель умышленно понизил разрешение.