Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Специалист по безопасности Мэти Ванхоф обнаружил две уязвимости в протоколе аутентификации Wi-Fi, позволяющие злоумышленникам перехватывать трафик пользователей в беспроводных сетях. Согласно его отчёту, в зоне риска находятся более 2 миллиардов устройств.

Wi-Fi

Обнаруженные уязвимости связаны с сетевым компонентом wpa_supplicant, который отвечает за аутентификацию в беспроводной сети на различных устройствах. С их помощью злоумышленники могут действовать в обход аутентификации Wi-Fi (без пароля): заставлять гаджеты подключаться к клонированным сетям и «сливать» данные пользователей.

Потенциально «под раздачу» попадают компьютеры под управлением Windows и Chrome OS, а также Android-гаджеты, подключающиеся к публичным беспроводным сетям. Схожая проблема была замечена и в демоне IWD — аналоге wpa_supplicant для Linux.

Самую серьёзную опасность, по словам эксперта, представляет собой «дыра» в wpa_supplicant v2.10 и более ранних версий. Этот компонент используется Android-устройствами для подключения к защищённым паролем сетям Wi-Fi, а также некоторыми компьютерами на Linux и ChromeOS. Потенциально уязвимости CVE-2023-52160 могут быть подвержены до 2,3 млрд пользовательских устройств.

Wi-Fi

Похожая, хоть и не столь масштабная проблема затрагивает корпоративные сети (WPA2-E или WPA3-E), которые обычно используются в школах, больницах и других учреждениях. Уязвимость в IWD (CVE-2023-52161) затрагивает частные сети — она опасна для ПК под управлением Linux.

Для устройств на базе ChromeOS (не старше версии 118) уже вышел патч, закрывающий уязвимость. Комплексного решения для платформы Android пока нет — ожидается, что соответствующий апдейт безопасности будет выпущен в ближайшее время.

Источник: androidheadlines.com


  • kiss1984
    ну и ладно
    • anshi3032
      Представляете сколько было бурлений коричневой массы в комментариях, если бы новость была про устройства Apple?
      • Jurakorni
        anshi3032,
        А причём тут эпл, если это проблема линя?
        • skamaroh14
          Jurakorni,
          Человек пришёл про эпл писать, пофигу, что в статье.
          • sgt.cartman
            Jurakorni,
            и винды.
            • Jurakorni
              sgt.cartman,
              Ну винды потенциально, она wpa supplicant не юзает наверное...
              • adasiko
                sgt.cartman,
                в оригинале Windows нет
                Видать тут глухой телефон
              • Jurakorni,
                Так вроде написано другое "две уязвимости в протоколе аутентификации Wi-Fi" ... =)
                • ffppdda
                  Jurakorni,
                  и андроид и айос на базе ядра линукс сделаны, разные лишь оболочки, где андроид использует весь потенциал, а айос кастрирован по самый лобок
                  • Nikitin_Gs
                    ffppdda,
                    Айос на Дарвине сделан (как и макос), а не на линуксе. Дарвин, в свою очередь является наследником юникса и беркли
                    • Nikitin_Gs
                      ffppdda,
                      Ну и да, тут речь не про ядро, а про конкретную программу, распространяемую отдельно
                  • PMT7077_3G
                    anshi3032,
                    Ну вот ты и забурлил. Помолчал бы и пронесло, но не смог же сдержаться)
                    • Almostdivine
                      anshi3032, ничего, и до него дойдут, наверняка там есть некая преемственность кодовой базы. У меня как-то был прикол с блютуз наушниками лет 15 назад. При попытке подключения к убунте модуль блютуса вываливался с ошибкой. Потом я решил подключить их к макбуку и, о сюрприз, произошло тоже самое с той же ошибкой, хотя казалось бы...
                      • adasiko
                        Almostdivine,
                        ну так прошивка/драйвер Bluetooth модуля и выдали одно и тоже
                        в статье же про уровень выше - там разное

                        (отредактирован)

                      • sprigh
                        anshi3032,
                        "бурлений коричневой массы в комментариях".

                        Ну, вот ты первый и нарисовался забурлив коричневой массой
                        • formaks
                          anshi3032,
                          Вы с этим эплом напоминаете Неуловимого Джо.
                          Знаешь почему он неуловим?
                          • Amadeus666
                            anshi3032,
                            а про ведро бурления нет, ибо в ведре дыр как в решете, к этому все привыкли давно, это норма и "Вы не понимаете, это другое!"
                            • djlfjdsfsj
                              anshi3032,
                              Я не представляю ни одну статью, где бы писалось про Windows/Linux/Android/etc, а в комментариях не нашелся ни один яблочный фанат, который бы хотел написать подобный комментарий, начиная со слова "представляете" и что-то потом про "коричневые массы" добавляя. Такое я уже видел триллионы раз.

                              P.S.
                              Сейчас меня флэшбэком откинуло к идущему к реке и рассуждению Жака Фреско о боге из видеоролика на YouTube "Когда бог тебя шлёт на*ер" (на самом деле я его несколько минут назад посмотрел, перед тем как со смартфоном пошел в клозет и стал читать новости на 4PDA).

                              P.S.2
                              Ну а если по теме, то ни одна из не-яблочных ОС и близко себя не рекламирует как "самую безопасную", как это обычно делают яблочники, особенно что касается ОС на мобильной платформе, где яблочные гаджеты с iOS не без помощи таких нарративов и заняли свою нишу на рынке. Поэтому в данном случае меня бы не удивило, если бы люди особо активничали в комментариях, если бы речь шла о дырах в безопасности iOS. Ведь яблочная корпорация сама придумала себе на голову стереотипы, из-за несоответствия которым народ может ее гнобить.
                            • Perfumero
                              Чушь, у пользователей android и linux нечего красть.
                              • DaimonJV
                                Perfumero,
                                Да хватит уже.джипег
                                • Perfumero
                                  DaimonJV,
                                  Скорее... Да заткнись ты уже.джипег))
                                • Perfumero,
                                  Т.е по вашему 20 гиговый пак по млп это ничего?
                                  • vsaR1SK
                                    cdtj,
                                    А у тебя что, своего нет?
                                    • adasiko
                                      cdtj,
                                      мало же
                                      • арс чёткий
                                        cdtj,
                                        Это Лгбт. Потому что радуга, дружба магия и прочее. Срочно удаляй! А лучше сожги на костре свой смартфон
                                    • root.moscow
                                      "Никогда так не было и вот опять"
                                      • chucha998
                                        Ну перехватили трафик. Он щас весь шифрованный, смысл какой в перехвате той каши что пойдёт через поддельную точку доступа?
                                        • Namles
                                          chucha998,
                                          Вы полностью правы! Статья как обычно для шума)))
                                          • Nikitin_Gs
                                            chucha998,
                                            Так очень просто. Понять какие сайты посещает можно спокойно, подставить свои сайты – тоже, а там уже всё – полный доступ
                                          • Consence
                                            Кто эти злоумышленники? Ни одного не могут поймать и посадить в тюрьму, значит их там нет.
                                            • bober1976
                                              интересно, как "патч для андроида" выпустят, учитывая, что на каждом устройстве он частично свой, не говоря уж про разные версии оси...

                                              есть мысль, что дырой пользовались давно, ток внезапно решили прикрыть зачем-то
                                              • kmivang
                                                bober1976,
                                                OK, google: "project treble"
                                                • bober1976
                                                  kmivang,
                                                  cпасибо. интересно.
                                                  Но, говорят, даже с проектом mainline не получилось достичь этого.
                                                  habr.com/ru/companies/orioninc/articles/561118/
                                              • UnregisterBot
                                                кофемолки дудосят майкрософт. Опять. В очередной раз. И холодильники майнят хакерам.
                                                • UnregisterBot,
                                                  Зубные Щетки забыл😉🤣🤣,Самые Страшные Хакеры
                                                • Seilenos
                                                  А что там с iOS? Ах, да, совсем забыл
                                                • Dobryachok12
                                                  Я не подключаю свои девайсы к публичным сетям. Мобильный тырнет пашет нормально.
                                                  Если бы речь шла обо всех роутерах
                                                  • FcTheSystem
                                                    Помню еще в 2012 году тему вайфай снифферов проштудировал и с планшета на площади города подрубился в публичной сети халявной. Перехватил данные чьи-то и это оказалась девочка какая-то, что сидела в одноклассниках через браузер, а не приложение. Как раз браузерные сессии и легче всего перехватить (сейчас не знаю. Как то приложение, перестало работать, которым пользовался, так и забыл про это). Написал ей сообщение самой себе в одноклассниках, что не надо сидеть в халявном вайфае без зашиты) Сразу почти устройство из сети пропало)) Интересно, до сих пор так можно?

                                                    (отредактирован)

                                                    • adasiko
                                                      FcTheSystem,
                                                      За прошедшие десять лет медленно, но уверенно считай все сайты перешили на https.
                                                      Тоесть из-за шифрования такой простой скрипткидовый приём уже не сработает.

                                                      Но если пользователь зайдёт на какой-то старый/небезопасный http сайт с вводом паролей, то сработает.

                                                      (отредактирован)

                                                    • ran4erep
                                                      в Wi-Fi давно уже есть дыра. Любой школьник, имеющий Wi-Fi адаптер, может получать трафик с вашей точки доступа, включая пароль от неё
                                                      • sprigh
                                                        Seilenos,
                                                        Ты сайт попутал. Тебе сюда ➡️_iguides.ru/main/security/v_ios_ipados_i_macos_est_dyra_cherez_kotoruyu_mozhno_vorovat_loginy_i_paroli/
                                                        • ScytheNecris
                                                          У меня вафляй всегда выключен, кроме дома. Как и блутуш, если не использую науши
                                                          • OMOIKANE
                                                            Если бы этот хренов специалист по безопасности не нашёл эту дыру, то о ней никто бы не знал.
                                                            Теперь кулхацкеры могут оттянуться.
                                                            • djlfjdsfsj
                                                              OMOIKANE,
                                                              Почему сразу "хренов"? Нужно говорить спасибо всем тем, кто находит дыры в безопасности.
                                                            • SandrX
                                                              -начальник! я провел аудит нашей сети! у нас дыры в безопасности!
                                                              - отлично! хоть что-то у нас в безопасности!!

                                                              На сайте Apple появилась новая страница под названием «Причины для обновления». На ней компания демонстрирует наглядное сравнение старых моделей iPhone с устройствами актуальной серии — но не в виде обычных таблиц характеристик, а более наглядно.

                                                               

                                                              Нидерландская компания Yandex N.V. объявила о продаже бизнеса «Яндекса» консорциуму частных инвесторов. Представители компании рассказали об ожидаемых следствиях реструктуризации и сообщили, кто станет её новым владельцем.

                                                               
                                                              <div></div><div></div><div></div><a href='/2024/05/28/8196196/' target='_blank'><img src='https://4pda.to/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div>

                                                              Нынешний генеральный директор Intel Пэт Гелсингер в прошлом был одним из ключевых инженеров-конструкторов компании и принимал участие в разработке процессора i386 (Intel 80386). Очевидно, в то время 24-летний разработчик мечтал оставить свой след в истории и поэтому «расписался» на каждом выпущенном CPU.

                                                               

                                                              «Безопасники» компании F.A.C.C.T. сообщили, что раскрыли новую схему «угона» аккаунтов в Telegram. Она напоминает некоторые уже известные методы мошенничества, но, по мнению экспертов, опасна даже для опытных пользователей. Издание РБК рассказало всё, что об этом известно.

                                                               

                                                              HMD Global, владеющая правами на торговую марку Nokia, объявила о планах по развитию собственного бренда смартфонов. По данным инсайдеров, производитель полностью откажется от названия Nokia в своей продукции к 2026 году. Уже сейчас сайт nokia.com/phones перенаправляет пользователей на страницу Human Mobile Devices. А дебют фирменных устройств компании состоится на выставке MWC 2024. Приводим подборку популярных телефонов, которыми запомнилась некогда крупнейшая корпорация на рынке мобильной электроники.

                                                               

                                                              Разработчики WhatsApp объявили о появлении в мессенджере нескольких нововведений, ориентированных в первую очередь на владельцев и администраторов каналов. Все они призваны разнообразить процесс взаимодействия с подписчиками и сделать его более интересным.

                                                               

                                                              И хотя Apple ещё не выпустила iPhone 16-й серии, инсайдер Jeff Pu рассказал об особенностях линейки 2025 года. По его словам, в ней появится новая модель взамен существующей версии Plus. Также компания немного пересмотрит дизайн смартфонов.

                                                               

                                                              По расчётам аналитиков Canalys, после прекращения поддержки Windows 10 в следующем году актуальность потеряют около 240 миллионов ПК, не поддерживающих более новую ОС Microsoft. В качестве альтернативы Google предложила пользователям такого железа перейти на её фирменную ОС, созданную специально для устаревших компьютеров.

                                                               

                                                              В магазине Google Play появился альтернативный метод получения платного софта без использования банковской карты или мобильного счёта. Теперь пользователь, выбрав соответствующую опцию, может попросить своего друга заплатить за покупку того или иного приложения вместо себя.

                                                               

                                                              В конце прошлой недели CD Projekt RED анонсировала новый патч для Cyberpunk 2077, призванный исправить «самые частые проблемы, о которых сообщали игроки». Правки действительно не заставили себя долго ждать.

                                                               
                                                              Конца-края не видать. В Steam начался «Фестиваль бесконечной реиграбельности» Популярное

                                                              Раньше в Steam устраивали лишь распродажи, но сегодня парады низких цен называют куда красивее — фестивалями. И минувшим вечером Valve запустила очередное мероприятие для любителей закупиться видеоиграми на чёрный день.

                                                               

                                                              Авторы портала Hardware Unboxed решили проверить значимость количества видеопамяти в современных играх. И для этого они поочерёдно запускали игры на видеокарте AMD Radeon RX 6500 XT в версиях на 4 и 8 ГБ.

                                                               

                                                              Motorola представила флагманский смартфон Edge 50 Pro. Его главная особенность — камера и дисплей, прошедшие проверку институтом цвета Pantone. Это значит, что они должны максимально достоверно передавать цвета и оттенки. В компании рассказали, чем ещё примечательна новинка.

                                                               

                                                              Спустя всего пару дней после поручения президента РФ по созданию отечественной консоли стали известны её характеристики. Железо новинки вызывает вопросы такого масштаба, что новость уважаемого издания «Известия» впору считать за утку.

                                                               

                                                              На выставке MWC 2024 компания Samsung обнародовала первые подробности о фирменном умном кольце Galaxy Ring. Производитель рассказал о возможностях гаджета, его работе с другими устройствами семейства Galaxy и предполагаемых сроках выхода. 

                                                               

                                                              В своём новом патенте компания показала необычную разработку, ориентированную на стандартизацию аккумуляторов для разных видов цифровой техники. Если оно дойдёт до серийного производства, пользователи смогут менять батареи iPhone, iMac и периферии за считаные секунды и даже переставлять из одного устройства в другое.

                                                               
                                                              Представлен Sony Xperia 1 VI: новый дизайн, камера с кнопкой и топовое железо Популярное

                                                              Компания Sony представила флагманский смартфон Xperia 1 VI. Он не только стал мощнее предшественника, но и сменил фирменный «кинематографический» дисплей на более традиционный с соотношением сторон 19,5:9. При этом гаджет сохранил ключевые черты фирменных устройств серии, включая продвинутую камеру и разъём для наушников.

                                                               
                                                              Микромотор Swytch GO превращает обычный велосипед в электрический Популярное

                                                              Стартап Swytch Technology представила внешний DIY-комплект Swytch GO, совместимый с большинством современных педальных велосипедов. Съёмный двигатель обеспечивает запас хода до 96 километров при максимальной скорости в 25 километров в час.

                                                               

                                                              Накануне Microsoft отказалась от поддержки эмулятора Android для Windows 11, не объясняя причин такого решения. Один из сотрудников компании решил это исправить, и опубликовал в X пост, частично проливающий свет на «похороны» этой функции ОС.

                                                               

                                                              Портал Android Authority обнаружил в коде бета-версии Android 15 любопытную функцию, которая пока не была анонсирована Google. Она позволит улучшить автономность смартфона за счёт нового алгоритма работы дисплея, сокращающего время активности последнего.

                                                               

                                                              Американский бизнесмен Илон Маск поделился прогнозом по поводу развития искусственного интеллекта. По его мнению, ИИ и роботы смогут предоставлять все необходимые товары и услуги, а потому в будущем человеку не придётся работать вовсе.

                                                               
                                                              Все три версии Google Pixel 9 показали на реальных снимках [ФОТО] Популярное

                                                              В сети появилась серия фотографий всех трёх смартфонов ещё не представленной серии Google Pixel 9. Помимо базовой модели и «прошки», инсайдеры показали и версию Pro XL. Дизайн гаджета выглядит знакомым, но сам он будет крупнее других представителей линейки.

                                                               

                                                              Геймеры очень не любят Denuvo — и дело не только в их неприязни к системам защиты. Считается, что конкретно эта программа негативно сказывается на производительности игр. Но так ли это?

                                                               

                                                              Компания Natron Energy запатентовала технологию работы аккумуляторов, основанных на электронах и пригодных для быстрой и частой передачи ионов натрия. Новый метод позволит десятикратно увеличить скорости работы аккумуляторов и повысить их ресурс до 50 000 циклов.

                                                               

                                                              IT-эксперты из компаний Security Discovery и Cybernews обнаружили в сети базу данных на 12 ТБ, содержащую информацию об учётных записях пользователей со всего мира. «Под раздачу» попали Telegram, VK, X, Adobe и другие платформы. Специалисты рассказали, чем это грозит, и как проверить свои аккаунты на предмет «слива».

                                                               

                                                              Согласно новому исследованию, проведённому с использованием данных рентгеновской обсерватории NASA и Национального научного центра Карла Дж. Янски (VLA), сверхмассивная чёрная дыра в центре Млечного Пути раскручивается настолько быстро, что искажает окружающее её пространство-время.

                                                               

                                                              Выпустив в феврале свой «последний» смартфон, китайская компания Meizu презентовала новую модель 21 Note. Аппарат сохранил фирменный дизайн предыдущих устройств бренда и предлагает продвинутые характеристики с мощной начинкой по относительно доступной цене.

                                                               

                                                              На носу премьера экранизации Fallout от Amazon, и рекламная кампания сериала подходит к кульминации. На сей раз авторы шоу решили поделиться новыми (и весьма любопытными!) кадрами проекта.

                                                               

                                                              Разработчики WhatsApp представили новую функцию мессенджера, призванную улучшить конфиденциальность общения при использовании голосовых сообщений. Теперь они смогут самоуничтожаться после прослушивания, снижая риск утечки личной переписки.

                                                               

                                                              Канадская компания Sandvine поделилась статистикой веб-трафика, которая показывает его распределение по  объёму. Как оказалось, протокол BitTorrent переживает не лучшие времена — его изрядно потеснили сразу несколько популярных онлайн-площадок.