"FragAttacks" Wi-Fi பாதிப்புகள் மில்லியன் கணக்கான சாதனங்களை பாதிக்கின்றன

Darkcrizt

4 நிமிடங்கள்

பல பாதிப்புகள் பற்றிய செய்தி சமீபத்தில் வெளியிடப்பட்டது எல்லா Wi-Fi இயக்கப்பட்ட சாதனங்களிலும் புதிதாக கண்டுபிடிக்கப்பட்டது 20 ஆண்டுகளுக்கும் மேலானது மற்றும் தாக்குபவர் தரவை அடைய முடிந்தால் அதைத் திருட அனுமதிக்கிறது.

இந்த தொடர் பாதிப்புகள் பாதுகாப்பு ஆராய்ச்சியாளர் மத்தி வான்ஹோஃப் என்பவரால் கண்டுபிடிக்கப்பட்டன, பாதிப்புகள் கூட்டாக "ஃப்ராக்அட்டாக்ஸ்" என்று அழைக்கப்படுகின்றன.

"கண்டுபிடிக்கப்பட்ட மூன்று பாதிப்புகள் வைஃபை தரத்தில் வடிவமைப்பு குறைபாடுகள், எனவே பெரும்பாலான சாதனங்களை பாதிக்கின்றன" என்று பெல்ஜிய பாதுகாப்பு மற்றும் ஃபிராக் தாக்குதல்களைக் கண்டுபிடித்த கல்வி ஆராய்ச்சியாளர் மத்தி வான்ஹோஃப் கூறினார்.

மீதமுள்ளவை "வைஃபை தயாரிப்புகளில் [வைஃபை தரத்தை செயல்படுத்துவதில்] பரவலான நிரலாக்க பிழைகள் காரணமாக ஏற்படும் பாதிப்புகள்" என்று வான்ஹோஃப் கூறினார்.

"ஒவ்வொரு வைஃபை தயாரிப்பும் குறைந்தது ஒரு பாதிப்பால் பாதிக்கப்படுவதாகவும், பெரும்பாலான தயாரிப்புகள் பல பாதிப்புகளால் பாதிக்கப்படுவதாகவும் சோதனைகள் சுட்டிக்காட்டுகின்றன" என்று வான்ஹோஃப் கூறினார், ஜூன் மாத இறுதியில் தனது கண்டுபிடிப்புகள் குறித்து ஆழ்ந்த பேச்சு கொடுக்க திட்டமிடப்பட்டுள்ளது. இந்த ஆண்டு ஆகஸ்டில் USENIX இல். '21 பாதுகாப்பு மாநாடு.

குறிப்பிட்டபடி பாதிப்புகளில் மூன்று Wi-Fi தரத்தில் வடிவமைப்பு குறைபாடுகள் மற்றும் பெரும்பாலான சாதனங்களை பாதிக்கின்றன, மீதமுள்ள பாதிப்புகள் வைஃபை தயாரிப்புகளில் நிரலாக்க பிழைகளின் விளைவாகும்.

பாதிப்புகளின் சுரண்டல் ரேடியோ வரம்பிற்குள் தாக்குபவர் பல்வேறு வழிகளில் சாதனங்களை குறிவைக்க அனுமதிக்க முடியும். ஒரு எடுத்துக்காட்டில், தாக்குபவர் வெற்று உரை பிரேம்களை எந்தவொரு பாதுகாப்பான வைஃபை நெட்வொர்க்கிலும் செலுத்த முடியும். மற்றொரு எடுத்துக்காட்டில், பாதிக்கப்பட்ட டி.என்.எஸ் சேவையகத்தைப் பயன்படுத்த பாதிக்கப்பட்டவரைத் தூண்டுவதன் மூலம் தாக்குபவர் போக்குவரத்தைத் தடுக்க முடியும்.

கூகிள் போன்ற பிரபலமான ஸ்மார்ட்போன்கள் உட்பட பலவிதமான வைஃபை சாதனங்களைக் கொண்ட சாதனங்களை அவர் சோதித்ததால், ஒவ்வொரு வைஃபை தயாரிப்பிலும் குறைந்தது ஒரு பாதிப்பைக் கண்டறிய முடியும் என்றும் பெரும்பாலான தயாரிப்புகள் பல பாதிப்புகளால் பாதிக்கப்படுகின்றன என்றும் சோதனைகள் குறிப்பிடுகின்றன என்று வான்ஹோஃப் குறிப்பிடுகிறார். , ஆப்பிள், சாம்சங் மற்றும் ஹவாய், மைக்ரோ-ஸ்டார்ட் இன்டர்நேஷனல், டெல் மற்றும் ஆப்பிள் ஆகியவற்றின் கணினிகள், கேனான் மற்றும் ஷியாவோமியிலிருந்து ஐஓடி சாதனங்கள் போன்றவை.

பாதிப்புகள் சுரண்டப்பட்டதற்கான எந்த ஆதாரமும் இல்லை ஒரு கட்டத்தில் மற்றும் அறிக்கையை உரையாற்றும் போது, புதுப்பிப்புகள் மூலம் பாதிப்புகள் குறைக்கப்படுவதாக வைஃபை அலையன்ஸ் தெரிவித்துள்ளது சந்தேகத்திற்கிடமான பரிமாற்றங்களைக் கண்டறிய அனுமதிக்கும் அல்லது பாதுகாப்பு அமலாக்க சிறந்த நடைமுறைகளுடன் இணக்கத்தை மேம்படுத்தும் வழக்கமான சாதனங்களின்.

"ஃப்ராக்அட்டாக்ஸ் என்பது மென்பொருள் எவ்வாறு வடிவமைப்பு பாதிப்புகள் மற்றும் செயல்படுத்தல் பாதிப்புகள் ஆகிய இரண்டையும் கொண்டிருக்க முடியும் என்பதற்கான ஒரு சிறந்த எடுத்துக்காட்டு," 

"யாரோ ஒரு குறியீடு எடிட்டரைத் தொடங்குவதற்கு முன், வடிவமைப்பு கட்டத்தில் அச்சுறுத்தல் மாடலிங் மூலம் இயக்கப்படும் பாதுகாப்பான வடிவமைப்புக் கொள்கைகள் இருக்க வேண்டும் ... வரிசைப்படுத்தல் மற்றும் சோதனையின் போது, ​​தானியங்கி பாதுகாப்பு சோதனைக் கருவிகள் பாதுகாப்பு பாதிப்புகளைக் கண்டறிய உதவுகின்றன. பாதுகாப்பு எனவே அவை தொடங்கப்படுவதற்கு முன்பு சரி செய்யப்படலாம்."

பாதிப்புகள் பின்வருமாறு பட்டியலிடப்பட்டுள்ளன:

வைஃபை நிலையான வடிவமைப்பு குறைபாடுகள்

  • CVE-2020-24588 - ஒருங்கிணைப்பு தாக்குதல் (SPP இல்லாத A-MSDU பிரேம்களை ஏற்றுக்கொள்கிறது).
  • CVE-2020-24587: கலப்பு விசை தாக்குதல் (வெவ்வேறு விசைகளின் கீழ் மறைகுறியாக்கப்பட்ட துண்டுகளை மீண்டும் இணைத்தல்).
  • CVE-2020-24586 - துண்டின் கேச் தாக்குதல் (நெட்வொர்க்குடன் இணைக்கும்போது (மறு) நினைவகத்திலிருந்து துகள்களை அழிக்கத் தவறியது).

வைஃபை தரத்தின் செயல்பாட்டு குறைபாடுகள்

  • CVE-2020-26145: எளிய உரை ஸ்ட்ரீமிங் துகள்களை முழு பிரேம்களாக ஏற்றுக்கொள்வது (மறைகுறியாக்கப்பட்ட பிணையத்தில்).
  • CVE-2020-26144: ஈதர் டைப் EAPOL (மறைகுறியாக்கப்பட்ட பிணையத்தில்) உடன் RFC1042 தலைப்புடன் தொடங்கும் எளிய உரை A-MSDU பிரேம்களை ஏற்றுக்கொள்வது.
  • சி.வி.இ -2020-26140: பாதுகாக்கப்பட்ட நெட்வொர்க்கில் எளிய உரை தரவு சட்டங்களை ஏற்றுக்கொள்வது.
  • சி.வி.இ -2020-26143: பாதுகாக்கப்பட்ட நெட்வொர்க்கில் துண்டு துண்டான எளிய உரை தரவு சட்டங்களை ஏற்றுக்கொள்வது.

பிற செயல்படுத்தல் தோல்விகள்

  • CVE-2020-26139: அனுப்புநர் இன்னும் அங்கீகரிக்கப்படவில்லை என்றாலும் EAPOL பிரேம் பகிர்தல் (AP களை மட்டுமே பாதிக்கும்).
  • சி.வி.இ -2020-26146: தொடர்ச்சியான பாக்கெட் எண்களுடன் மறைகுறியாக்கப்பட்ட துண்டுகளை மீண்டும் இணைத்தல்.
  • சி.வி.இ -2020-26147: மறைகுறியாக்கப்பட்ட / எளிய உரை கலப்பு துகள்களை மீண்டும் இணைத்தல்.
  • சி.வி.இ -2020-26142: துண்டு துண்டான பிரேம்களை முழு பிரேம்களாக செயலாக்குகிறது.
  • சி.வி.இ -2020-26141: துண்டு துண்டான பிரேம்கள் எம்.ஐ.சி டி.கே.ஐ.பி சரிபார்க்கப்படவில்லை.

இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் ஆலோசிக்க முடியும் பின்வரும் இணைப்பு.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுகளுக்குப் பொறுப்பு: AB இன்டர்நெட் நெட்வொர்க்ஸ் 2008 SL
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.