Lek in wifi maakt miljoenen apparaten kwetsbaar
Miljoenen apparaten zijn kwetsbaar voor een lek in een van de populairste manieren om draadloos te communiceren: wifi. Dat ontdekte de Belgische beveiligingsonderzoeker Mathy Vanhoef.
Een aanvaller zou cookies of wachtwoorden voor websites kunnen uitlezen, en daarmee inloggen op het account van een slachtoffer. Daarvoor moet een aanvaller zich wel bevinden in de nabijheid van het slachtoffer.
Meekijken kan niet als er gebruik wordt gemaakt van een beveiligde verbinding. Internetbankieren, de sites van de grote sociale media en veel nieuwssites zijn daarmee nog steeds veilig. Een beveiligde verbinding is te herkennen aan het slotje in de browser.
Wifi-standaard
Het beveiligingsprobleem bevindt zich in de wifi-standaard: een lijst afspraken waarin fabrikanten onderling hebben vastgelegd hoe wifi werkt. Daardoor beperkt de impact zich niet tot één apparaat of besturingssysteem.
Toch verschilt de impact per apparaat: telefoons met Android 6.0 en nieuwer zijn het kwetsbaarst. Het gaat daarmee om de helft van de wereldwijde Android-apparaten. Bij een aanval kan al het verkeer van en naar die apparaten worden uitgelezen. Bij andere apparaten is dat moeilijker, maar kan alsnog internetverkeer worden afgetapt.
"Als iemand dit weet te misbruiken, is een wifi-netwerk net zo onveilig als een openbaar wifi-netwerk", zegt beveiligingsonderzoeker Rik van Duijn van beveiligingsbedrijf Dearbytes. "Daarop kan iedereen meelezen."
Updates
Eind augustus bracht onderzoeker Vanhoef fabrikanten van apparaten met wifi op de hoogte. Voor de meeste apparaten is echter nog geen update beschikbaar, waaronder voor Android, iOS, OS X en Windows. De kans is groot dat die updates de komende weken zullen volgen.
Voor gebruikers is het vooral belangrijk dat ze updates van hun telefoons en laptops installeren, schrijft Vanhoef. Internetproviders als Ziggo en KPN moeten mogelijk ook hun routers updaten. Ziggo onderzoekt het probleem, aldus een woordvoerder.
Wifi-slot
Het lek, door de bedenker 'KRACK' genoemd, zit in WPA2, een standaard voor het inloggen op wifi-netwerken en in feite het 'slot' op een wifi-netwerk. Die standaard stamt uit 2004 en blijkt vatbaar voor een aanval waarbij een aanvaller pakketjes bij het aanmelden op het netwerk onderschept en manipuleert.
Het is de eerste keer dat er een lek is gevonden in WPA2. Eerdere manieren om in te breken op wifi richtten zich vooral op het onveilige WEP, een voorganger van WPA2. Het kraken van netwerken met WPA2 was tot nu toe enkel mogelijk door wachtwoorden te raden.
Het lek maakt het niet mogelijk om het wachtwoord van een wifi-netwerk te achterhalen; de aanval richt zich alleen op de digitale handdruk die een wifi-netwerk en een telefoon, tablet of laptop maken. Onderzoeker Vanhoef belooft wel meer onderzoek naar de beveiliging van wifi.