Ernstig beveiligingslek in veelgebruikte wifi-beveiliging
Belgische beveiligingsonderzoekers hebben een ernstig lek gevonden in de beveiligingsstandaard WPA2. Dit is een veel gebruikte standaard om wifi-netwerken te beveiligen. Het lek maakt het mogelijk om niet-versleuteld dataverkeer te onderscheppen.
De onderzoekers Mathy Vanhoef en Frank Piessens van de KU Leuven ontwikkelden de aanvalsmethode Key Reinstallation Attacks (KRACK). Hiermee is onbeveiligd internetverkeer af te luisteren en kunnen soms zelfs aan het netwerk verbonden apparaten worden gemanipuleerd. Dit kan overigens alleen binnen het bereik van het wifi-netwerk. Het is dan bijvoorbeeld mogelijk om in te breken op Android-apparaten. Vooral als deze versie 6.0 of hoger hebben, vanwege een extra kwetsbaarheid. Pas 6 november komt Google met een update om dit probleem te verhelpen, maar die update is voor oudere apparaten niet geschikt, aldus de onderzoekers.
Updates
WPA2 zorgt voor versleuteling van het interne netwerkverkeer, maar die beveiliging kan volgens de onderzoeker met KRACK worden omzeild. Dat gebeurt via een fout in de ‘handshake’ die plaatsvindt als apparaten verbinding maken met een wifi-router. Eerder bleek de beveiligingsstandaard WEP voor wifi-netwerken al te kraken. WPA2 gold tot voor kort als zeer veilig, maar blijkt nu dus ook niet waterdicht te zijn. Met KRACK is het overigens niet mogelijk het wachtwoord van het netwerk te achterhalen. Voor gemiddelde risico’s is WPA2 nog altijd de beste beveiliging. Als fabrikanten van routers een update schrijven die hergebruik van encryptiesleutels onmogelijk maakt, is de nu ontdekte methode niet langer te gebruiken om in te breken. Ziggo en KPN zeggen de mogelijkheden te onderzoeken om hun routers beter te beveiligen.