Lanzado en enero de 2018 WPA3 utiliza el protocolo de Estándar de cifrado avanzado (AES) para mejorar la seguridad de la red WiFi.
Sin embargo, un nuevo artículo de investigación publicado por Mathy Vanhoef y Eyal Ronen muestra que el protocolo puede no ser tan seguro como se pensaba anteriormente.
"La certificación WPA3 tiene como objetivo proteger las redes WiFi y ofrece varias ventajas sobre su predecesora, WPA2, como la protección contra ataques de diccionarios fuera de línea y el secreto a futuro", escribieron los investigadores.
"Desafortunadamente, mostramos que WPA3 está afectado por varios defectos de diseño, y analizamos estos defectos tanto teóricamente como en la práctica".
De acuerdo con sus hallazgos, los atacantes podrían aprovechar la sincronización o las fugas de canal lateral basadas en caché para averiguar la contraseña de una red WiFi.
Los investigadores afirmaron que esta técnica puede ser "abusada para robar información sensible transmitida, como números de tarjetas de crédito, contraseñas, mensajes de chat, correos electrónicos, etc.".
Continúan diciendo que el protocolo de Autenticación simultánea de iguales (SAE) de WPA3, también conocido como Dragonfly, puede verse afectado por los ataques de partición de contraseñas.
"Estos ataques se asemejan a los ataques de diccionario y permiten que un adversario recupere la contraseña al abusar del tiempo o las fugas de canales laterales basadas en caché", dijeron.
"Nuestros ataques de canal lateral apuntan al método de codificación de contraseña del protocolo. Por ejemplo, nuestro ataque basado en caché explota el algoritmo hash a curve de SAE.
"Los ataques resultantes son eficientes y de bajo costo: el uso de una contraseña en minúscula de ocho caracteres para forzar la aplicación de una fuerza bruta requiere menos de $ 125 en las instancias de Amazon EC2".
Además, los investigadores identificaron un ataque de denegación de servicio que funciona "al iniciar una gran cantidad de apretones de manos con un punto de acceso habilitado para WPA3".
Para ayudar a las personas a identificar y mitigar estos ataques, los investigadores han lanzado cuatro herramientas de prueba de concepto en GitHub. Con ellos, los usuarios pueden probar estas vulnerabilidades.
"Casi todos nuestros ataques son contra el método de codificación de contraseña de SAE, es decir, contra su algoritmo hash-to-group y hash-to-curve. Curiosamente, un simple cambio de este algoritmo habría evitado la mayoría de nuestros ataques", agregó el equipo académico.
Después de conocer las vulnerabilidades, la Alianza WiFi lanzó una declaración: "Estos problemas se pueden resolver a través de una actualización de software sencilla, un proceso muy parecido a las actualizaciones de software que los usuarios de WiFi realizan regularmente en sus dispositivos móviles.
"WPA3-Personal se encuentra en las primeras etapas de la implementación, y la pequeña cantidad de fabricantes de dispositivos afectados ya ha comenzado a implementar parches para resolver el problema.
"Las actualizaciones de software no requieren ningún cambio que afecte la interoperabilidad entre dispositivos WiFi. Los usuarios pueden consultar los sitios web de sus proveedores de dispositivos para obtener más información".Fecha actualización el 2021-04-11. Fecha publicación el 2019-04-11. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: theinquirer Version movil