Er is een kwetsbaarheid gevonden in het WPA2-protocol voor draadloze encryptie. Hierdoor kan de verbinding niet alleen ontsleuteld worden, maar ook overgenomen. Beveiligingsonderzoekers raken in paniek door het nieuws, waaronder hoogleraar cryptografie Matthew Green. Hij noemt het lek op Twitter ook wel “the dawn of the crypto dead.”
De kwetsbaarheid wordt ook wel KRACK (key reinstallation attack) genoemd. Hackers kunnen in het bijzonder wifi-verkeer ontsleutelen, HTTP-content in verkeer infecteren en connecties overnemen. Volgens een waarschuwing van de US Computer Emergency Readiness Team (US-CERT) die Ars Technica publiceerde, zouden er “verschillende key-management kwetsbaarheden in de vier stappen handshake” van het protocol zijn.
In totaal zou het gaan om elf verschillende ernstige lekken van CVE-2017-13077 tot en met CVE-2017-13088. De zorgen komen vooral voort uit de grote omvang die de kwetsbaarheid mogelijk met zich meebrengt. Volgens US-CERT zullen namelijk de meeste, zo niet alle correcte implementaties van de standaard geïnfecteerd zijn. Waarschijnlijk zal de meerderheid van draadloze routers en verbonden apparaten dan ook geïnfecteerd zijn.
Bevestiging
In de loop van de dag zal meer duidelijk worden over de kwetsbaarheid. Dan worden de onderzoeksresultaten namelijk bekendgemaakt. Onder meer de Katholieke Universiteit Leuven zal dit doen, aangezien onderzoekers van deze universiteit de kwetsbaarheden ontdekt hebben. Zij presenteren de resultaten samen met de US-CERT.
Ars Technica probeerde de details te bevestigen, maar slaagde er voorlopig niet in. Wel raadt deze website aan om wifi te vermijden totdat er een patch verschijnt. Als wifi de enige verbindingsmethode is, wordt er het gebruik van HTTPS, STARTTLS, Secure Shell en andere betrouwbare protocollen om web- en e-mailverkeer te versleutelen aangeraden. Ook het gebruiken van een VPN voor extra veiligheid kan handig zijn.
Overigens komen er de laatste tijd regelmatig berichten over cyberbeveiliging voorbij. Zo was eerder in oktober te lezen dat Accenture per ongeluk klantgegevens bewaarde op onbeveiligde AWS-servers, terwijl accountdata van T-Mobile klanten in te zien waren met slechts een telefoonnummer.