Androide, Linux, BSD (Berkeley Software Distribution), e molto probabilmente Windows e Mac OS X sono tutti a rischio di un grave bug nel componente di una rete senza fili impiegati per autenticare i client. Il difetto descritto trovato in wpa_supplicant aumenta la possibilità di un attacco.
Wpa_supplicant è descritto come un'implementazione software open-source delle specifiche IEEE 802.11i per un client wireless ed è cross-platform. Fondamentalmente, viene applicato per controllare le connessioni WPA e WPA2 Wi-Fi
- Androide
- Linux
- sistemi BSD
- (di tanto in tanto) Mac OS X e Windows
Tuttavia, quando si tratta di Mac OS X e Windows, Wpa_supplicant potrebbe essere impegnato solo da un software wireless di terze parti dal momento che entrambi i sistemi operativi hanno le loro implementazioni.
Ciò che è specifico sulla vulnerabilità?
Il difetto è stato comunicato dal gruppo di ricerca hardware di Alibaba. La questione è stata ufficialmente riportata da specialisti della sicurezza di Google.
Una volta sfruttati, la vulnerabilità consente a un attacco denial-of-service, e può leggere i contenuti della memoria del processo. Inoltre, tale sfruttamento potrebbe causare l'esecuzione di codice arbitrario. È inoltre fondamentale sottolineare che tutte le versioni del richiedente in questione sono esposti. Lo sfruttamento è più probabile quando il dispositivo ha avviato un P2P attivo (peer to peer) operazione.
Per fortuna, una patch è già stato divulgato nell'aprile 22, e sistemi operativi possono procedere verso che fissa il problema di sicurezza. Gli esperti già avvertito che anche se è difficile da eseguire, sfruttamento può essere attivato senza operazioni peer-to-peer attualmente in corso.
Come rimanere sicuro
Gli utenti sono invitati a installare tutti gli aggiornamenti di sicurezza per wpa_supplicant una volta che sono disponibili. Fino ad allora, una mossa saggia è disattivare connessioni P2P per ogni interfaccia Wi-Fi nella configurazione richiedente. Istruzioni nella consulenza sono accessibili.
Tuttavia, gli utenti dovrebbero essere allarmati che wpa_supplicant è anche impiegato in dispositivi embedded. Patch per tali dispositivi sono né frequenti né sono facili da installare.