नुकतीच बरीच असुरक्षिततेची बातमी प्रसिद्ध झाली होती सर्व वाय-फाय सक्षम केलेल्या डिव्हाइसवर नवीन शोधले 20 वर्षांहून अधिक काळ जुनी भेट देऊन आणि आक्रमणकर्त्याच्या आवाक्याबाहेर असल्यास डेटा चोरण्याची परवानगी.
असुरक्षा या मालिकेचा शोध सुरक्षा संशोधक मथी वॅनॉफने शोधला होता, असुरक्षा एकत्रितपणे "फ्रेगअटाक्स" म्हणतात.
"शोधण्यात आलेल्या तीन असुरक्षांमध्ये वायफाय मानकातील डिझाइनमधील त्रुटी आहेत आणि त्यामुळे बहुतेक उपकरणांवर परिणाम होतो," असे फ्रॅग अटॅक शोधणार्या बेल्जियममधील सुरक्षा आणि शैक्षणिक संशोधक मथी वॅनहॉफ यांनी सांगितले.
बाकीच्या "वायफाय उत्पादनांमध्ये [वायफाय मानक अंमलबजावणीत] व्यापक प्रोग्रामिंग त्रुटींमुळे उद्भवणारी असुरक्षा आहेत," वॅनहोइफ म्हणाले.
“प्रयोग असे सूचित करतात की प्रत्येक वायफाय उत्पादनावर कमीतकमी एका असुरक्षिततेचा परिणाम होतो आणि बहुतेक उत्पादनांवर एकाधिक असुरक्षिततेचा परिणाम होतो,” असे वानोफ यांनी सांगितले. ते जूनच्या शेवटी झालेल्या निष्कर्षांवर सखोल भाषण देणार आहेत. यावर्षी ऑगस्टमध्ये USENIX वर. '21 सुरक्षा परिषद.
नमूद केल्याप्रमाणे असुरक्षांपैकी तीन म्हणजे वाय-फाय मानकमधील डिझाइन त्रुटी आणि बर्याच उपकरणांवर परिणाम करतात, उर्वरित असुरक्षा वाय-फाय उत्पादनांमधील प्रोग्रामिंग त्रुटींचा परिणाम आहेत.
असुरक्षा शोषण रेडिओ श्रेणीमधील आक्रमणकर्त्यास विविध मार्गांनी डिव्हाइस लक्ष्यित करण्याची परवानगी देऊ शकते. एका उदाहरणात, आक्रमणकर्ता कोणत्याही सुरक्षित वाय-फाय नेटवर्कमध्ये साधा मजकूर फ्रेम इंजेक्ट करू शकतो. दुसर्या उदाहरणात, आक्रमणकर्ता पीडितेस संक्रमित डीएनएस सर्व्हर वापरण्यास सांगून रहदारी रोखू शकतो.
वानोफ यांनी नमूद केले की प्रयोगांवरून असे सूचित होते की प्रत्येक वाय-फाय उत्पादनात कमीतकमी एक असुरक्षितता आढळू शकते आणि बहुतेक उत्पादनांवर एकाधिक असुरक्षिततेचा परिणाम होतो, कारण त्याने Google,. सॅमसंग आणि हुआवेई, तसेच मायक्रो-स्टार्ट इंटरनेशनल, डेल आणि Appleपलचे संगणक, कॅनन आणि झिओमीचे आयओटी डिव्हाइसेस आणि इतर.
असुरक्षिततेचे शोषण केले गेले याचा पुरावा नाही कधीकधी आणि अहवालाला संबोधित करताना, वाय-फाय अलायन्सने म्हटले आहे की अद्यतनांद्वारे असुरक्षा कमी केली जातात रूटीन डिव्हाइसेसची जी संशयास्पद ट्रांसमिशन शोधण्याची परवानगी देते किंवा सुरक्षा अंमलबजावणीच्या सर्वोत्कृष्ट पद्धतींचे अनुपालन सुधारते.
"सॉफ्टवेअर डिझाइनची असुरक्षा आणि अंमलबजावणीची असुरक्षा दोन्ही कशी असू शकतात याचे एक उत्कृष्ट उदाहरण फ्रेगअॅटॅक्स आहे."
“एखाद्याने कोड संपादक सुरू करण्यापूर्वी, डिझाईन टप्प्यात धोकादायक मॉडेलिंगद्वारे चालविलेल्या सुरक्षित डिझाइनची तत्त्वे समाविष्ट केली जावीत… तैनात आणि चाचणी दरम्यान, स्वयंचलित सुरक्षा चाचणी साधने सुरक्षितता असुरक्षा शोधण्यात मदत करतात. सुरक्षा जेणेकरून ते लॉन्च होण्यापूर्वी निश्चित केले जाऊ शकतात. '
असुरक्षा खालीलप्रमाणे आहेत:
वायफाय मानक डिझाइनमधील त्रुटी
- सीव्हीई -2020-24588 - एकत्रित हल्ला (एसपीपी नसलेल्या ए-एमएसडीयू फ्रेम स्वीकारतो).
- सीव्हीई -2020-24587: मिश्रित की हल्ला (वेगवेगळ्या की अंतर्गत एनक्रिप्टेड तुकड्यांचा पुनर्वापर).
- सीव्हीई -2020-24586 - भाग कॅशे हल्ला (नेटवर्कशी कनेक्ट होताना मेमरीमधून भाग साफ करण्यास अयशस्वी).
वायफाय मानकांच्या अंमलबजावणीतील त्रुटी
- सीव्हीई -2020-26145: संपूर्ण फ्रेम (एन्क्रिप्टेड नेटवर्कवर) म्हणून साधा मजकूर प्रवाहित भाग स्वीकारणे.
- सीव्हीई -2020-26144: ईथरटाइप ईएपीओएल (एनक्रिप्टेड नेटवर्कवर) सह आरएफसी 1042 हेडरसह प्रारंभ होणारी प्लेन टेक्स्ट ए-एमएसडीयू फ्रेमची स्वीकृती.
- सीव्हीई -2020-26140: संरक्षित नेटवर्कवर साधा मजकूर डेटा फ्रेमची स्वीकृती.
- सीव्हीई -2020-26143: संरक्षित नेटवर्कवर फ्रॅग्मेन्ट प्लेन टेक्स्ट डेटा फ्रेम्सची स्वीकृती.
इतर अंमलबजावणी अपयशी
- सीव्हीई -2020-26139: प्रेषक अद्याप प्रमाणित नसला तरीही ईएपीओएल फ्रेम फॉरवर्डिंग (केवळ एपींना प्रभावित करू शकेल).
- सीव्हीई -2020-26146: नॉन-सलग पॅकेट नंबर असलेल्या एनक्रिप्टेड तुकड्यांचा पुन्हा वापर.
- सीव्हीई -2020-26147: एन्क्रिप्टेड / साधा मजकूर मिश्रित भाग पुन्हा तयार करणे.
- सीव्हीई -2020-26142: तुकडलेल्या फ्रेमवर पूर्ण फ्रेम म्हणून प्रक्रिया करीत आहे.
- सीव्हीई -2020-26141: फ्रेगमेंटेड फ्रेम्स एमआयसी टीकेआयपी सत्यापित नाहीत.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण सल्ला घेऊ शकता खालील दुवा.