Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Найдена «дыра» в Wi-Fi для кражи данных с устройств на Android и Linux

Специалист по безопасности Мэти Ванхоф обнаружил две уязвимости в протоколе аутентификации Wi-Fi, позволяющие злоумышленникам перехватывать трафик пользователей в беспроводных сетях. Согласно его отчёту, в зоне риска находятся более 2 миллиардов устройств.

Wi-Fi

Обнаруженные уязвимости связаны с сетевым компонентом wpa_supplicant, который отвечает за аутентификацию в беспроводной сети на различных устройствах. С их помощью злоумышленники могут действовать в обход аутентификации Wi-Fi (без пароля): заставлять гаджеты подключаться к клонированным сетям и «сливать» данные пользователей.

Потенциально «под раздачу» попадают компьютеры под управлением Windows и Chrome OS, а также Android-гаджеты, подключающиеся к публичным беспроводным сетям. Схожая проблема была замечена и в демоне IWD — аналоге wpa_supplicant для Linux.

Самую серьёзную опасность, по словам эксперта, представляет собой «дыра» в wpa_supplicant v2.10 и более ранних версий. Этот компонент используется Android-устройствами для подключения к защищённым паролем сетям Wi-Fi, а также некоторыми компьютерами на Linux и ChromeOS. Потенциально уязвимости CVE-2023-52160 могут быть подвержены до 2,3 млрд пользовательских устройств.

Wi-Fi

Похожая, хоть и не столь масштабная проблема затрагивает корпоративные сети (WPA2-E или WPA3-E), которые обычно используются в школах, больницах и других учреждениях. Уязвимость в IWD (CVE-2023-52161) затрагивает частные сети — она опасна для ПК под управлением Linux.

Для устройств на базе ChromeOS (не старше версии 118) уже вышел патч, закрывающий уязвимость. Комплексного решения для платформы Android пока нет — ожидается, что соответствующий апдейт безопасности будет выпущен в ближайшее время.

Источник: androidheadlines.com


  • kiss1984
    ну и ладно
    • anshi3032
      Представляете сколько было бурлений коричневой массы в комментариях, если бы новость была про устройства Apple?
      • Jurakorni
        anshi3032,
        А причём тут эпл, если это проблема линя?
        • skamaroh14
          Jurakorni,
          Человек пришёл про эпл писать, пофигу, что в статье.
          • sgt.cartman
            Jurakorni,
            и винды.
            • Jurakorni
              sgt.cartman,
              Ну винды потенциально, она wpa supplicant не юзает наверное...
              • adasiko
                sgt.cartman,
                в оригинале Windows нет
                Видать тут глухой телефон
              • Jurakorni,
                Так вроде написано другое "две уязвимости в протоколе аутентификации Wi-Fi" ... =)
                • ffppdda
                  Jurakorni,
                  и андроид и айос на базе ядра линукс сделаны, разные лишь оболочки, где андроид использует весь потенциал, а айос кастрирован по самый лобок
                  • Nikitin_Gs
                    ffppdda,
                    Айос на Дарвине сделан (как и макос), а не на линуксе. Дарвин, в свою очередь является наследником юникса и беркли
                    • Nikitin_Gs
                      ffppdda,
                      Ну и да, тут речь не про ядро, а про конкретную программу, распространяемую отдельно
                  • PMT7077_3G
                    anshi3032,
                    Ну вот ты и забурлил. Помолчал бы и пронесло, но не смог же сдержаться)
                    • Almostdivine
                      anshi3032, ничего, и до него дойдут, наверняка там есть некая преемственность кодовой базы. У меня как-то был прикол с блютуз наушниками лет 15 назад. При попытке подключения к убунте модуль блютуса вываливался с ошибкой. Потом я решил подключить их к макбуку и, о сюрприз, произошло тоже самое с той же ошибкой, хотя казалось бы...
                      • adasiko
                        Almostdivine,
                        ну так прошивка/драйвер Bluetooth модуля и выдали одно и тоже
                        в статье же про уровень выше - там разное

                        (отредактирован)

                      • sprigh
                        anshi3032,
                        "бурлений коричневой массы в комментариях".

                        Ну, вот ты первый и нарисовался забурлив коричневой массой
                        • formaks
                          anshi3032,
                          Вы с этим эплом напоминаете Неуловимого Джо.
                          Знаешь почему он неуловим?
                          • Amadeus666
                            anshi3032,
                            а про ведро бурления нет, ибо в ведре дыр как в решете, к этому все привыкли давно, это норма и "Вы не понимаете, это другое!"
                            • djlfjdsfsj
                              anshi3032,
                              Я не представляю ни одну статью, где бы писалось про Windows/Linux/Android/etc, а в комментариях не нашелся ни один яблочный фанат, который бы хотел написать подобный комментарий, начиная со слова "представляете" и что-то потом про "коричневые массы" добавляя. Такое я уже видел триллионы раз.

                              P.S.
                              Сейчас меня флэшбэком откинуло к идущему к реке и рассуждению Жака Фреско о боге из видеоролика на YouTube "Когда бог тебя шлёт на*ер" (на самом деле я его несколько минут назад посмотрел, перед тем как со смартфоном пошел в клозет и стал читать новости на 4PDA).

                              P.S.2
                              Ну а если по теме, то ни одна из не-яблочных ОС и близко себя не рекламирует как "самую безопасную", как это обычно делают яблочники, особенно что касается ОС на мобильной платформе, где яблочные гаджеты с iOS не без помощи таких нарративов и заняли свою нишу на рынке. Поэтому в данном случае меня бы не удивило, если бы люди особо активничали в комментариях, если бы речь шла о дырах в безопасности iOS. Ведь яблочная корпорация сама придумала себе на голову стереотипы, из-за несоответствия которым народ может ее гнобить.
                            • Perfumero
                              Чушь, у пользователей android и linux нечего красть.
                              • DaimonJV
                                Perfumero,
                                Да хватит уже.джипег
                                • Perfumero
                                  DaimonJV,
                                  Скорее... Да заткнись ты уже.джипег))
                                • Perfumero,
                                  Т.е по вашему 20 гиговый пак по млп это ничего?
                                  • vsaR1SK
                                    cdtj,
                                    А у тебя что, своего нет?
                                    • adasiko
                                      cdtj,
                                      мало же
                                      • арс чёткий
                                        cdtj,
                                        Это Лгбт. Потому что радуга, дружба магия и прочее. Срочно удаляй! А лучше сожги на костре свой смартфон
                                    • root.moscow
                                      "Никогда так не было и вот опять"
                                      • chucha998
                                        Ну перехватили трафик. Он щас весь шифрованный, смысл какой в перехвате той каши что пойдёт через поддельную точку доступа?
                                        • Namles
                                          chucha998,
                                          Вы полностью правы! Статья как обычно для шума)))
                                          • Nikitin_Gs
                                            chucha998,
                                            Так очень просто. Понять какие сайты посещает можно спокойно, подставить свои сайты – тоже, а там уже всё – полный доступ
                                          • Consence
                                            Кто эти злоумышленники? Ни одного не могут поймать и посадить в тюрьму, значит их там нет.
                                            • bober1976
                                              интересно, как "патч для андроида" выпустят, учитывая, что на каждом устройстве он частично свой, не говоря уж про разные версии оси...

                                              есть мысль, что дырой пользовались давно, ток внезапно решили прикрыть зачем-то
                                              • kmivang
                                                bober1976,
                                                OK, google: "project treble"
                                                • bober1976
                                                  kmivang,
                                                  cпасибо. интересно.
                                                  Но, говорят, даже с проектом mainline не получилось достичь этого.
                                                  habr.com/ru/companies/orioninc/articles/561118/
                                              • UnregisterBot
                                                кофемолки дудосят майкрософт. Опять. В очередной раз. И холодильники майнят хакерам.
                                                • UnregisterBot,
                                                  Зубные Щетки забыл😉🤣🤣,Самые Страшные Хакеры
                                                • Seilenos
                                                  А что там с iOS? Ах, да, совсем забыл
                                                • Dobryachok12
                                                  Я не подключаю свои девайсы к публичным сетям. Мобильный тырнет пашет нормально.
                                                  Если бы речь шла обо всех роутерах
                                                  • FcTheSystem
                                                    Помню еще в 2012 году тему вайфай снифферов проштудировал и с планшета на площади города подрубился в публичной сети халявной. Перехватил данные чьи-то и это оказалась девочка какая-то, что сидела в одноклассниках через браузер, а не приложение. Как раз браузерные сессии и легче всего перехватить (сейчас не знаю. Как то приложение, перестало работать, которым пользовался, так и забыл про это). Написал ей сообщение самой себе в одноклассниках, что не надо сидеть в халявном вайфае без зашиты) Сразу почти устройство из сети пропало)) Интересно, до сих пор так можно?

                                                    (отредактирован)

                                                    • adasiko
                                                      FcTheSystem,
                                                      За прошедшие десять лет медленно, но уверенно считай все сайты перешили на https.
                                                      Тоесть из-за шифрования такой простой скрипткидовый приём уже не сработает.

                                                      Но если пользователь зайдёт на какой-то старый/небезопасный http сайт с вводом паролей, то сработает.

                                                      (отредактирован)

                                                    • ran4erep
                                                      в Wi-Fi давно уже есть дыра. Любой школьник, имеющий Wi-Fi адаптер, может получать трафик с вашей точки доступа, включая пароль от неё
                                                      • sprigh
                                                        Seilenos,
                                                        Ты сайт попутал. Тебе сюда ➡️_iguides.ru/main/security/v_ios_ipados_i_macos_est_dyra_cherez_kotoruyu_mozhno_vorovat_loginy_i_paroli/
                                                        • ScytheNecris
                                                          У меня вафляй всегда выключен, кроме дома. Как и блутуш, если не использую науши
                                                          • OMOIKANE
                                                            Если бы этот хренов специалист по безопасности не нашёл эту дыру, то о ней никто бы не знал.
                                                            Теперь кулхацкеры могут оттянуться.
                                                            • djlfjdsfsj
                                                              OMOIKANE,
                                                              Почему сразу "хренов"? Нужно говорить спасибо всем тем, кто находит дыры в безопасности.
                                                            • SandrX
                                                              -начальник! я провел аудит нашей сети! у нас дыры в безопасности!
                                                              - отлично! хоть что-то у нас в безопасности!!

                                                              Взломанные консоли и пиратские игры давно стали частью истории видеоигровой индустрии в России и продолжают ей быть, однако это всё ещё незаконная деятельность. В чём пришлось убедиться пенсионеру из Липецка.

                                                               
                                                              Обзор Xiaomi 14 Ultra: претендент на смартфон года глазами зарубежных СМИ
                                                              61
                                                              7.03.24News

                                                              Xiaomi 14 Ultra не назовёшь революционным устройством, но компания проделала немалую работу по устранению недостатков предыдущей модели. В результате многие издания и блогеры уже называют новинку одним из лучших смартфонов года.

                                                               
                                                              <div></div><div></div><div></div><a href='/2024/05/19/2852862/' target='_blank'><img src='https://4pda.to/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div><div></div><div></div>

                                                              Как правило, Microsoft неохотно признаёт проблемы с очередным патчем, и без лишнего шума исправляет их в последующих обновлениях. Но апдейт KB5034848 для Windows 11 компания проигнорировать не смогла. Он содержит серьёзные ошибки, нарушающие корректную работу ПК — и разработчики сами посоветовали пользователям не устанавливать его.

                                                               

                                                              После презентации HyperOS в сети начали распространять информацию, что эта прошивка только для китайского рынка, а в остальном мире Xiaomi продолжит выпускать MIUI. И хотя компания так никогда не заявляла, теперь появилось официальное опровержение всем спекуляциям — анонс глобального развёртывания прошивки. 

                                                               

                                                              По данным «Коммерсанта», ссылающегося на представителей маркетплейсов и ритейлеров, в России растут продажи накопителей и модулей оперативной памяти. Эксперты объясняют это желанием покупателей модернизировать ноутбуки исходя из собственных потребностей.

                                                               

                                                              На выставке MWC 2024 в Барселоне состоялась презентация нового смартфона TECNO POVA 6 Pro. У него ёмкий аккумулятор с поддержкой быстрой зарядки, большой запас памяти, камера высокого разрешения и производительный процессор. 

                                                               

                                                              Спустя всего пару дней после поручения президента РФ по созданию отечественной консоли стали известны её характеристики. Железо новинки вызывает вопросы такого масштаба, что новость уважаемого издания «Известия» впору считать за утку.

                                                               

                                                              Сбер объявил о запуске полезной функции для тех, кто не любит носить с собой банковскую карту. Теперь клиенты банка могут не только снять наличные, но и пополнить ими свой счёт в банкомате при помощи мобильного приложения без использования «пластика».

                                                               

                                                              Samsung обновила график развёртывания фирменной прошивки One UI 6.1 с набором ИИ-функций. Вслед за флагманами серии  Galaxy S24 пакет утилит Galaxy AI получат и выпущенные ранее устройства — компания рассказала, когда именно это произойдёт.

                                                               

                                                              По расчётам аналитиков Canalys, после прекращения поддержки Windows 10 в следующем году актуальность потеряют около 240 миллионов ПК, не поддерживающих более новую ОС Microsoft. В качестве альтернативы Google предложила пользователям такого железа перейти на её фирменную ОС, созданную специально для устаревших компьютеров.

                                                               

                                                              В день релиза iPad Pro на базе процессора M4 компания Apple выпустила рекламный ролик, который внезапно задел чувства многих представителей творческих профессий. Они начали критиковать компанию, и в итоге Apple принесла извинения и призналась, что прогадала с этой затеей.

                                                               

                                                              Google открыла доступ к бета-версии языковой модели Gemini 1.5 Pro. Это лучшая из нейросетей компании, способная работать с большими массивами текста, кода и визуальных данных. Мы опробовали возможности ИИ и делимся результатами.

                                                               

                                                              Аналитики медиакомпании Visual Capitalist составили список из 15 бестселлеров мобильного рынка за всю его многолетнюю историю. Рейтинг оказался любопытным: его практически поровну поделили всего два бренда, из которых на плаву к 2024 году остался только один.

                                                               
                                                              Достигнут новый рекорд термоядерного синтеза Популярное

                                                              Расположенный во Франции реактор Токамак WEST установил новый рекорд, удерживая термоядерную плазму при более высоких показателях энергии и плотности, чем ранее. Всё дело в используемом вольфрамовом корпусе, справляющимся со своей задачей лучше углеродных аналогов.

                                                               

                                                              После релиза iPhone 14 Pro всё больше вендоров перенимают технологию спутниковой связи. На днях с этим нововведением дебютировал Xiaomi 14 Ultra. Рассказываем, в каких случаях может выручить спутниковая коммуникация и как она работает.

                                                               
                                                              «РЖД» запустила первый поезд с сауной, прачечной и душевыми кабинками Популярное

                                                              Компания «Российские железные дороги» провела презентацию обновлённого подвижного состава туристического поезда «Жемчужина Кавказа» с вагоном-сауной. Он будет следовать из Москвы через города Майкоп, Нальчик, Владикавказ и Грозный, а 8 мая совершит первую поездку из Тюмени.

                                                               

                                                              Автор YouTube-канала Samuel Nam провёл необычный эксперимент, отказавшись от своего 16-дюймового MacBook Pro на M1 Max в пользу Samsung Galaxy S24 Ultra. В течение трёх недель он использовал флагманский смартфон в качестве полноценной замены компьютеру для выполнения всей повседневной активности.

                                                               

                                                              В тестовой сборке Windows 11 появилось полезное нововведение, улучшающее спорный интерфейс меню «Пуск». Оно сочетает в себе классический прокручиваемый список приложений с новым дизайном иконок — портал Neowin показал, как это выглядит.

                                                               
                                                              Учёные нашли очень прочный металлический сплав Популярное

                                                              Учёные обнаружили необычный металлический сплав, не подверженный деформации при различных экстремальных температурах. Это стало возможным благодаря технологии скручивания кристаллов сплава на атомном уровне, благодаря которой материал способен выдержать условия за пределами возможностей своих аналогов.

                                                               

                                                              Известная своими защищёнными устройствами компания Oukitel приняла участие в большой весенней распродаже на AliExpress. В честь этого ряд моделей бренда можно приобрести по сниженным ценам. Например, со скидкой доступны планшет RT8 и смартфон WP36 с ёмкими аккумуляторами и повышенной долговечностью.

                                                               

                                                              Инсайдер Digital Chat Station опубликовал любопытный аналитический отчёт о текущем положении дел на рынке смартфонов. Он отметил, что ещё недавно ставший рекордом объём оперативной памяти Android-смартфонов не спешит обновляться. Более того, производители гаджетов всё чаще «занижают» этот показатель — и, по мнению инсайдера, делают это осознанно.

                                                               
                                                              Google заблокировала рекордное количество приложений в Google Play Популярное

                                                              В 2024 году Google ввела новый свод правил в рамках инициативы по обеспечению безопасности. Теперь загружать софт станет сложнее, а создателям ПО потребуется больше проверок перед публикацией своих программ. Компания также раскрыла количество приложений, не прошедших проверку в прошлом году — цифра оказалась впечатляющей.

                                                               

                                                              Три месяца назад компания Neuralink впервые в истории вживила чип 29-летнему пациенту по имени Ноланд Арбо. Спустя ровно сто дней стартап Илона Маска сообщил, что часть мозгового импланта вышла из строя. Из-за этого компании пришлось срочно обновлять программное обеспечение.

                                                               

                                                              Основатель компании Xiaomi Лей Цзюнь опубликовал расширенный список из 88 устройств, которые получат новую фирменную прошивку. Заодно он представил официальный логотип HyperOS и рассказал, что тот символизирует.

                                                               

                                                              На момент своего появления NVIDIA TITAN GTX была одной из самых мощных видеокарт на рынке. К её 11-летию журналисты PC Games Hardware взялись проверить, смог ли прогресс приблизить бюджетную видеокарту AMD Radeon RX 6400 к флагману 11-летней давности.

                                                               
                                                              Представлен Sony Xperia 1 VI: новый дизайн, камера с кнопкой и топовое железо Популярное

                                                              Компания Sony представила флагманский смартфон Xperia 1 VI. Он не только стал мощнее предшественника, но и сменил фирменный «кинематографический» дисплей на более традиционный с соотношением сторон 19,5:9. При этом гаджет сохранил ключевые черты фирменных устройств серии, включая продвинутую камеру и разъём для наушников.

                                                               

                                                              В честь большой распродажи на AliExpress смартфон Redmi Note 13 стал доступен по очень выгодной цене. За небольшую стоимость пользователь получает устройство с очень ярким AMOLED-экраном, камерой на 108 Мп, АКБ на 5000 мАч и процессором Snapdragon.

                                                               

                                                              Нидерландская компания Yandex N.V. объявила о продаже бизнеса «Яндекса» консорциуму частных инвесторов. Представители компании рассказали об ожидаемых следствиях реструктуризации и сообщили, кто станет её новым владельцем.

                                                               

                                                              В честь прихода весны компания Teclast запустила распродажу в своём фирменном магазине на AliExpress. По сниженной цене можно приобрести все товары бренда. Например, стали доступны со скидкой планшеты Teclast T60 и T50 Pro с большими экранами, мощными динамиками и поддержкой 4G LTE. 

                                                               

                                                              Канадская компания Sandvine поделилась статистикой веб-трафика, которая показывает его распределение по  объёму. Как оказалось, протокол BitTorrent переживает не лучшие времена — его изрядно потеснили сразу несколько популярных онлайн-площадок.

                                                               

                                                              Миллиардер и бизнесмен Илон Маск практически каждый день появляется на страницах новостей. На сей раз владелец X (некогда Twitter) заявил, что когда-то он был «одним из лучших игроков в Quake». Как оказалось, это преувеличение. 

                                                               
                                                              Первый взгляд на Honor Magic6 Pro: когда вкачал магию на максимум
                                                              48
                                                              9.04.24News

                                                              Топовый Honor Magic6 Pro наделал немало шума, и неудивительно: он, по мнению экспертов известного рейтинга DxOMark, предлагает передовую камеру и отличную автономность. Кандидат на роль идеального флагмана добрался до редакции 4PDA. Мы уже готовим подробный обзор новинки, а пока поделимся первыми впечатлениями.

                                                               

                                                              На китайском портале Autohome вышел материал с официальными ответами Xiaomi на часто задаваемые вопросы про автомобиль SU7. Так, стало известно, сколько стоит ТО, будет ли автомобиль продаваться за границей, сколько людей уже заказали новинку и есть ли у неё профессиональный режим вождения.

                                                               

                                                              После выпуска первой тестовой версии Android 15 разработчик Мишаал Рахман отыскал в нём описание новой функции под названием Notification Cooldown. Она создана для того, чтобы пользователь меньше отвлекался на повторяющиеся назойливые уведомления, «прилетающие» на смартфон.