אנדרואיד, לינוקס, BSD (הפצת תוכנה ברקלי), וקרוב לוודאי Windows ו- Mac OS X הן כל בסיכון של באג רציני בתוך המרכיב של רשת אלחוטית המועסקים לאימות לקוחות. פגם הגילוי למצוא wpa_supplicant מגדיל את האפשרות של מתקפה.
Wpa_supplicant מתואר כיישום תוכנת קוד פתוח של מפרט 802.11i IEEE עבור לקוח אלחוטי הוא חוצה פלטפורמות. בעיקרון, הוא מוחל לשליטה בחיבורי Wi-Fi WPA ו- WPA2 על
- אנדרואיד
- לינוקס
- מערכות BSD
- (מדי פעם) מערכת ההפעלה Mac OS X ו- Windows
למרות זאת, כשמדובר Mac OS X ו- Windows, Wpa_supplicant יכול להיות מעורב רק על ידי תוכנה אלחוטית של צד השלישי מאז שני מערכות ההפעלה יש מימושים שלהם.
מה הוא ספציפית לגבי הפגיעות?
הפגם שהתגלה על ידי צוות מחקר החומרה של Alibaba. הנושא דווח רשמית על ידי מומחי אבטחת גוגל.
לאחר ניצלו, הפגיעות מאפשרת התקפה מסוג מניעת שירות, ועשוי לקרוא תוכן מהתהליך הזיכרון. יתר על כן, ניצול כזה עלול להוביל לביצוע קוד שרירותי. כמו כן, חשוב לציין כי כל הגירסאות של תחנונים השאלה נחשפים. ניצול סביר ביותר כאשר המכשיר יזמה P2P פעיל (peer-to-peer) מבצע.
למזלנו, כבר פרסם תיקון באפריל 22, ומערכות הפעלה יכולות להמשיך לכיוון תיקון בעיית האבטחה. מומחים כבר הזהירו כי למרות שקשה לבצע, ניצול תוכל להיות מופעל ללא פעולות peer-to-peer כעת בתהליך.
כיצד לשמור על הבטיחות
מומלצים למשתמשים להתקין את כל עדכוני האבטחה עבור wpa_supplicant ברגע שהם זמינים. עד אז, צעד נבון הוא להשבית את חיבורי P2P לכל ממשק אלחוטי בתצורת עוֹתֵר. ההוראות המייעצות נגישות.
למרות זאת, משתמשים צריכים להיבהל כי wpa_supplicant מועסק גם התקנים משובצים. תיקונים עבור מכשירים כאלה אינם כפי תכופים וגם אינם קלים להתקנה.