介紹
我們發現WPA2嚴重的弱點,即確保所有的現代保護的Wi-Fi網路的協議。內的受害者的範圍內的攻擊者可以利用使用這些弱點一個祕鑰安裝攻擊(KRACKs)。具體而言,攻擊者可以利用這個新的攻擊技術來讀取先前假定為安全的加密資訊。這可以被濫用來竊取敏感資訊,如信用卡號,密碼,聊天訊息,電子郵件,照片,等等。 該攻擊的原理對所有現代保護的Wi-Fi網路。根據網路的配置,也可以注入和操縱資料。例如,攻擊者可能能夠注入勒索軟體或其他惡意軟體到網站中。
弱點是在Wi-Fi標準本身,而不是單個產品或實現。因此,任何正確實施WPA2很可能受到影響。為了防止攻擊,使用者必須儘快安全更新可用更新受影響的產品。請注意,如果您的裝置支援Wi-Fi,它是最有可能受到影響。在我們最初的研究中,我們發現自己,安卓,LINUX,蘋果,Windows中,OpenBSD的,聯發科,Linksys公司,和其他人,都受到的一些攻擊變種。有關特定產品的詳細資訊,請參閱CERT / CC的資料庫,或聯絡您的供應商。
背後偷襲的研究,將在提交計算機與通訊安全(CCS)會議,並在黑帽歐洲會議。我們詳細的研究論文已經可以下載。
示範
作為證明的概念,我們對執行的Android智慧手機一鍵重灌攻擊。在這個演示中,攻擊者能夠解密受害人傳輸的所有資料。對於攻擊者,這是很容易做到的,因為我們的主要攻擊重新安裝對抗的Linux和Android 6.0或更高格外毀滅性的。這是因為Android和Linux可以被欺騙(重新)安裝一個全零的加密金鑰(見下文獲取更多資訊)。當攻擊其他裝置,這是很難解密所有的資料包,儘管大量資料包的仍然可以被解密。在任何情況下,下面的演示強調了在執行對受保護的Wi-Fi網路鍵重灌攻擊時,攻擊者可以獲取的資訊的型別:
我們的攻擊不限於恢復登入憑證(即電子郵件地址和密碼)。通常,任何資料或資訊,受害者傳送可以被解密。此外,取決於所使用的裝置和網路設定上,但也可以解密朝向受害者傳送的資料(例如,網站的內容)。雖然網站或應用程式可能使用HTTPS作為一個附加的保護層,我們警告說,這種額外的保護可能(仍然)可以在情況令人擔憂號旁路。 例如,HTTPS以前繞過在非瀏覽器軟體,在蘋果的iOS和OS X,在Android應用中,Android的應用程式再次,在銀行業的應用甚至在VPN應用。
細節
我們的主要攻擊是針對WPA2協議的4次握手。當客戶端要加入受保護的Wi-Fi網路,並用於確認客戶端和接入點具有正確的憑據(如網路的預共享密碼)此握手執行。與此同時,在4次握手協商也將被用於加密所有後續通訊新鮮的加密金鑰。目前,所有的現代保護的Wi-Fi網路使用4次握手。這意味著所有這些網路是由(的一些變體)我們的攻擊的影響。例如,攻擊的原理是對個人和企業Wi-Fi網路,對舊的WPA和WPA2最新標準,甚至對網路,只能使用AES。 我們對所有的WPA2攻擊使用一種新的技術被稱為關鍵重灌攻擊(KRACK):
重點重新安裝攻擊:高層次的描述
在關鍵的重灌出擊,對手的招數受害者到重新安裝已在使用的關鍵。這是通過操縱和重放加密握手訊息來實現。當受害者重新安裝該鍵相關聯的引數,例如增量傳送分組數(即隨機數)和接收的分組數(即,回放計數器)被複位到其初始值。從本質上講,為了保證安全性,一個金鑰只能安裝並使用一次。不幸的是,我們發現這不是由WPA2協議保證。通過操縱加密握手,我們可以濫用其在實踐中的這一弱點。
重點重新安裝攻擊:對4次握手具體的例子
正如所描述的引進研究論文,背後的關鍵重灌攻擊的想法可以總結如下。當客戶端加入網路時,其執行4次握手協商一個新的加密金鑰。接受4次握手的訊息3後,將安裝此金鑰。一旦金鑰安裝,它將被用於加密使用加密協議正常的資料幀。然而,因為訊息可能丟失或丟棄時,接入點(AP)將重傳訊息3,如果它沒有接收作為送達確認適當的響應。其結果是,客戶機可以接收訊息3分多次。每次它接收到該訊息時,它將重新安裝相同的加密金鑰,並從而復位增量傳送分組數(隨機數),並接收由所述加密協議使用重放計數器。我們表明,攻擊者可以通過收集和重播4次握手的訊息3的重發強制這些隨機數復位。通過迫使隨機數回用這種方式,加密協議可以被攻擊,例如,資料包可以被重放,解密,和/或偽造的。同樣的技術也可以被用來攻擊組金鑰,PeerKey,TDLS和快速BSS過渡握手。
實際的影響
在我們看來,最廣泛和最實用有影響力的攻擊是針對4次握手的關鍵重灌攻擊。我們立足於兩點意見作出判決。首先,我們自己的研究過程中我們發現,大多數客戶都受到它的影響。其次,對手可以使用這種攻擊來解密由客戶端傳送的資料包,使他們能夠擷取敏感資訊,如密碼或餅乾。分組的解密是可能的,因為一個金鑰重新安裝攻擊導致的發射的隨機數(有時也被稱為分組號或初始化向量)被複位到零。其結果是,相同的加密金鑰用於與已經在過去使用的隨機數的值。反過來,這會導致WPA2的所有加密協議重用金鑰流加密資料包時。在的情況下重用的金鑰流具有已知內容的訊息時,它變得微不足道以匯出使用的金鑰流。然後,該金鑰流,可以使用以相同的隨機數進行解密的訊息。當沒有已知的內容,這是很難解密的資料包,但在一些情況下仍然有可能(如英文文字仍然可以解密)。 在實踐中,與已知的內容找到資料包是沒有問題的,所以應該假定任何資料包進行解密。
解密資料包的能力可以用來解密TCP SYN資料包。這允許敵手以獲得連線的TCP序列號,並劫持TCP連線。其結果是,即使WPA2時,對手可以立即執行的對開放的Wi-Fi網路最常見的攻擊之一:注入惡意資料到未加密的HTTP連線。例如,攻擊者可以濫用這種注入勒索軟體或惡意軟體成受害者正在訪問的網站。
如果受害人使用的,而不是AES-CCMP無論是WPA-TKIP或GCMP加密協議,影響尤為災難性的。 針對這些加密協議,現時再利用使對手不僅解密,而且還偽造和注入資料包。此外,由於使用GCMP在兩個通訊方向相同的驗證金鑰,如果隨機數被重複使用此鍵可以恢復,特別受影響。請注意,對於GCMP支援目前正在姓名無線千兆(WiGig聯盟)下推出,並預計將在一個較高的速度通過了在未來幾年。
在其中的報文可以被解密(並且可能偽造的)的方向取決於握手被攻擊。簡化,攻擊4次握手的時候,我們可以解密(和偽造)傳送的資料包的客戶端。當攻擊快速BSS轉換(FT)握手,我們可以解密(和偽造)傳送的資料包向客戶端。最後,我們的大多數攻擊也允許單播,廣播和多播幀的回放。有關詳細資訊,請參見第6節我們的研究論文。
請注意,我們的攻擊不收回Wi-Fi網路的密碼。他們還沒有恢復(的任何部分),這是4次握手期間協商新鮮的加密金鑰。
Android和Linux的
我們的攻擊是違反2.4版本尤其是災難性的,上面的wpa_supplicant的,一個Wi-Fi客戶端通常在Linux上使用。在這裡,客戶端將安裝重新安裝真正關鍵的全零的加密金鑰來代替。該漏洞出現在了Wi-Fi標準,建議一旦被安裝,第一次從記憶體中清除加密金鑰的言論而引起的。當客戶端現在收到4次握手的重傳訊息3時,將重新安裝現已清除加密金鑰,有效地安裝一個全零的關鍵。由於Android採用的wpa_supplicant,安卓6.0及以上版本也包含此漏洞。這使得它微不足道的攔截和操縱這些Linux和Android裝置傳送的流量。 需要注意的是目前Android裝置的41%,很容易受到我們的攻擊的這個特別毀滅性的變種。
分配的CVE識別符號
下面的通用漏洞披露(CVE)識別符號被分配到跟蹤哪些產品是我們的重點重新安裝攻擊的具體例項的影響:
- CVE-2017-13077:在4次握手的成對的加密金鑰(PTK-TK)的重新安裝。
- CVE-2017-13078:在4次握手的組金鑰(GTK)的重新安裝。
- CVE-2017-13079:在4次握手的完整性組金鑰(IGTK)的重新安裝。
- CVE-2017-13080:在組金鑰握手組金鑰(GTK)的重新安裝。
- CVE-2017-13081:在組金鑰握手的完整性組金鑰(IGTK)的重新安裝。
- CVE-2017-13082:接受一重新快速BSS轉換(FT)重新關聯請求和重新安裝成對的加密金鑰(PTK-TK),而處理它。
- CVE-2017-13084:在PeerKey握手STK鍵的重新安裝。
- CVE-2017-13086:隧道直接鏈路建立(TDLS)PeerKey(TPK)在TDLS握手鍵的重新安裝。
- CVE-2017-13087:群金鑰處理無線網路管理(WNM)睡眠模式響應幀時(GTK)的重新安裝。
- CVE-2017-13088:完整性組金鑰處理無線網路管理(WNM)睡眠模式響應幀時(IGTK)的重新安裝。
請注意,每個CVE識別符號是一個關鍵重灌攻擊的具體例項。這意味著每個CVE ID描述了一個特定的協議的脆弱性,並且因此許多供應商是由每個單獨的CVE ID的影響。您還可以閱讀漏洞說明VU#228519 CERT / CC的關於其產品的已知受影響的更多細節。
紙
我們背後偷襲研究論文的題目是重點重新安裝攻擊:在WPA2強制杜撰重用,並將在提交計算機與通訊安全(CCS)在釋出會上週三1月2017年。
雖然本文現已公開,它已經提交審查的2017年5月19日之後,只有輕微的變化作了。其結果是,在紙的研究結果已經好幾個月了。在此期間,我們發現容易技術來進行我們對4次握手鍵重灌攻擊。隨著我們新的攻擊技術,現在是微不足道的利用實現,只接受4次握手的訊息3的加密重傳。特別地,這意味著攻擊MacOS和OpenBSD是比在本文討論顯著更容易。
我們想強調以下幾點增編和勘誤表:
附錄:V2.6的wpa_supplicant和Android 6.0+
linux的的wpa_supplicant V2.6也容易安裝在4次握手的全零的加密金鑰。這是由John A.範·博克斯特爾發現。其結果是,所有的Android版本高於6.0也受到攻擊,因此可以被欺騙安裝一個全零的加密金鑰。新的攻擊通過注入偽造的訊息1,具有相同的ANonce與原訊息1中使用,轉發重發的訊息3到受害者之前。
附錄:其他弱勢握手
報導在報紙我們的初步研究之後,我們發現,TDLS握手和WNM睡眠模式響應幀也容易重新安裝的關鍵攻擊。
選擇勘誤
- 在圖9中在攻擊階段3中,從對手傳送給驗證者的幀應該說ReassoReq代替ReassoResp。
工具
我們已經取得了指令碼來檢測4次握手,組金鑰握手,或快速BSS轉換(FT)握手的實現是否是脆弱的關鍵重灌攻擊。一旦我們必須清理自己的使用說明時,這些指令碼將被釋放。
我們也做了驗證的概念,一個指令碼,利用全零鍵(重新)安裝存在於某些Android和Linux的裝置。這個指令碼是我們在使用的一個演示視訊。將釋出一次每個人都有一個合理的機會來更新他們的裝置(我們有機會準備釋出的程式碼庫)。我們注意到證據的概念我們的指令碼的可靠性可能取決於受害者多麼接近實際網路。如果受害者是非常接近真實的網路,指令碼可能會失敗,因為受害人將總是直接與真實網路上的其他Wi-Fi通道比這個網路進行通訊,即使受害人(強制)。
Q&A
難道我們現在需要WPA3?
不,幸運的是實現可以在向後相容的方式進行修補。這意味著客戶端修補仍然可以用一個未打補丁接入點進行通訊,反之亦然。換句話說,一個補丁的客戶端或接入點傳送完全相同的握手訊息和以前一樣,和在完全相同的時刻,在時間上。但是,安全更新將確保關鍵只安裝一次,防止我們的攻擊。如此反覆,更新所有裝置一次安全更新程式。
我應該改變我的Wi-Fi密碼?
更改您的Wi-Fi網路的密碼不能防止(或減輕)的攻擊。所以,你不必更新您的Wi-Fi網路的密碼。相反,你應該確保所有裝置進行更新,你也應該更新你的路由器的韌體。更新你的路由器之後,您可以任意更改的Wi-Fi密碼作為額外的預防措施。
我使用WPA2只有AES。這也是脆弱?
是的,網路配置也是很脆弱。該攻擊的原理對陣雙方WPA1和WPA2,對個人和企業網路,以及對任何加密套件使用(WPA-TKIP,AES-CCMP和GCMP)。所以每個人都應該更新自己的裝置,以防止攻擊!
您在使用本網站的“我們”這個詞。誰是我們?
我用的是“我們”,因為這是我已經習慣了在論文寫作。在實踐中,所有的工作都是由我完成的,跟我在一起馬西·文霍夫。我真棒監督員的條件下加入名譽作者的研究論文,他出色的一般性指導。但是,所有真正的工作是我自己完成的。因此,作者名單的學術論文並不代表分工 :)
我的裝置脆弱?
大概。使用無線網路連線的任何裝置可能是脆弱的。有關更多資訊,請聯絡您的供應商。
如果有對我的路由器沒有任何安全更新?
我們的主要攻擊是針對4路握手,並沒有利用接入點,而是目標客戶。因此,它可能是您的路由器並不需要安全更新。我們強烈建議您聯絡您的供應商瞭解更多詳情。雖然在一般,你可以嘗試通過禁用客戶端功能(這是例如在中繼器模式下使用)和禁用802.11r標準(快速漫遊),以減輕對路由器和接入點的攻擊。對於普通家庭使用者來說,你的重點應該是更新客戶端,如膝上型電腦和智慧手機。
你是如何發現這些漏洞?
在最後(即照相製版)版本工作時另一篇論文,我仔細檢查我們關於OpenBSD的執行4次握手中提出了一些索賠。從某種意義上說,我懈怠了,因為我本來是要剛剛完成的檔案,而不是在盯著程式碼。但是有我在,檢驗一些程式碼,我已經讀了百遍,以避免對下一段工作。正是在這個時候,以一個特定的呼叫ic_set_key引起我的注意。處理該4次握手的訊息3時,此函式被呼叫,並且它安裝成對金鑰給駕駛員。雖然在該行的程式碼盯著我以為“哈。我不知道這是否函式被呼叫兩次發生什麼。”。那時的我(正確地)猜測,稱這兩次可能會重置相關聯的金鑰的隨機數。而且,由於訊息3可以通過無線接入點進行重傳,在實踐中可能確實被呼叫兩次。“好記的那個。其他廠商也可以稱這種功能的兩倍。但是,讓我們先完成這篇論文......”。幾個星期後,完成論文和完成一些其他工作後,我更詳細地研究了這個新的想法。剩下的就是歷史。
4握手是數學證明是安全的。如何為你的攻擊可能嗎?
簡要的回答是,正規的證明並不能保證一個金鑰安裝一次。相反,它只是保證了談判的關鍵是保密的,並且握手訊息無法偽造。
較長的答案中提到我們推出的研究論文:我們的進攻不違反在4次握手的形式分析證明了安全性。特別是,這些證據指出,協商的加密金鑰的保密性,以及客戶端和接入點(AP),兩者的身份被確認。我們的攻擊不會洩露的加密金鑰。此外,雖然普通的資料幀可以如果使用TKIP或GCMP偽造,攻擊者不能偽造握手訊息,因此握手期間不能模擬客戶端或AP。因此,在4次握手的正式分析,證明了性質仍然為真。然而,問題是,證據不模型的關鍵裝置。換句話說,當應安裝協商金鑰的正式模型沒有定義。在實踐中,這意味著相同的金鑰可以多次安裝,
在紙張的一些攻擊似乎很難
我們有後續的工作使我們的攻擊(針對例如MacOS和OpenBSD系統)顯著更普遍,更容易執行。所以,雖然我們認同的一些報紙上的攻擊情形是相當不切實際的,不要讓這種欺騙你相信鍵重灌攻擊無法在實踐中被濫用。
人們利用這種在野外?
我們不是在一個位置,以確定是否該漏洞已經(或正在)在野外積極開拓。這就是說,按鍵的重新安裝其實可以自發地出現沒有對手存在!如果握手的最後一條訊息是由於背景噪聲的丟失,從而導致前一訊息的重傳例如,這可能發生。當處理此重傳訊息,鑰匙可能會重新安裝,導致現時重用就像一個真正的攻擊。
我應該暫時使用WEP,直到我的裝置進行修補?
沒有!繼續使用WPA2。
將Wi-Fi標準進行更新,以解決這一問題?
似乎是在Wi-Fi標準進行更新,以便明確地防止我們的攻擊的協議。這些更新可能會隨著WPA2的舊的實現向後相容。時間會告訴我們的標準是否以及如何將被更新。
是Wi-Fi聯盟也解決了這些漏洞?
對於那些不熟悉的Wi-Fi時,Wi-Fi聯盟是一個證明,Wi-Fi裝置符合互操作性的某些標準的組織。別的不說,這保證了來自不同供應商的Wi-Fi產品很好地協同工作。
在Wi-Fi聯盟有一個計劃,以幫助彌補WPA2發現的漏洞。總結,他們將:
- 需要他們的全球認證實驗室網路中的這個漏洞測試。
- 提供任何Wi-Fi聯盟成員使用漏洞檢測工具(此工具是根據我自己的檢測工具,確定是否裝置很容易被一些發現關鍵重灌攻擊)。
- 從廣義上傳達這一漏洞,包括補救措施細節,裝置供應商。此外,鼓勵供應商與他們的解決方案提供商合作,以快速整合所有必要的修補。
- 通訊使用者的重要性,以確保他們已經安裝了裝置製造商建議的最新安全更新。
為什麼使用match.com作為演示視訊的例子嗎?
使用者共享網站上大量的個人資訊,如match.com。所以這個例子強調所有的敏感資訊,攻擊者就可以得到,並希望用這個例子的人也更好地實現潛在的(個人)的影響。我們也希望這個例子讓人們意識到所有這些交友網站可以收集資訊。
如何預防這些型別的錯誤?
我們需要協議實現的更嚴格的檢查。這需要從學術界的幫助和更多的研究!連同其他研究人員,我們希望舉辦研討會(S),以改善和驗證安全協議實現的正確性。
為什麼域名krackattacks.com?
首先,我知道,KRACK攻擊是贅言,因為KRACK代表ķ EY [R einstallation 一個 TTA CK,因此已經包含這個詞的攻擊。但域名押韻,所以這就是為什麼它的使用。
你收到此錯誤賞金?
我沒有申請任何錯誤賞金呢,也有我收到一個了。
這是如何攻擊比較對WPA2其他攻擊?
這是對的WPA2協議,不依賴於密碼猜測的第一次進攻。事實上,對啟用WPA2-網路等攻擊反對周邊技術,如Wi-Fi保護設定(WPS) ,或者是對老年人的標準,如攻擊,WPA-TKIP。換句話說,沒有一種現有的攻擊是對的4次握手或反對的WPA2協議中定義的密碼套件。相比之下,我們對4次握手(和對其他握手)鍵重灌攻擊凸顯出WPA2協議本身的漏洞。
是否有其他協議也受鍵重灌攻擊?
我們預計某些其他協議的實現可能會受到類似的攻擊。所以這是一個好主意,稽核安全協議實現與這次攻擊一點。但是,我們認為這是不可能的,其它的協議標準是由類似襲擊的影響(或至少所以我們希望)。儘管如此,它仍然是審計其他協議是個好主意!
是否有標誌的更高解析度的版本?
是的,有。和一個大感謝你去那做標誌的人!
你什麼時候開始通知有關漏洞的供應商?
我們發出通知,誰的產品,我們測試自己周圍7月14日2017年與這些供應商溝通後,我們意識到我們發現有弱點多麼普遍(這時我才廠商真正說服自己,這的確是一個協議的弱點,而不是一組執行錯誤)。在這一點上,我們決定讓CERT / CC與漏洞的披露幫助。反過來,CERT / CC傳送到供應商的廣泛通知上2017年8月28。
為什麼OpenBSD的默默釋放禁運前的補丁?
OpenBSD的是2017年7月15日通知的漏洞,之前參與了協調CERT / CC。很快,西奧德若特說,並批評了初步披露的最後期限:“在開源的世界裡,如果一個人寫一個diff和有坐了一個月,這是非常令人沮喪”。請注意,我寫的,其中包括OpenBSD系統建議DIFF已經,而且在當時的臨時披露截止日期是八月左右結束。作為妥協,我讓他們靜靜修補漏洞。事後看來,這是一個錯誤的決定,因為別人可能會通過檢查他們的無聲的補丁重新發現的漏洞。為了避免將來出現此問題,OpenBSD的現在會收到通知的漏洞更接近於禁運的結束。
所以,你希望找到其他Wi-Fi漏洞?
“一切才剛剛開始。” -士官長,最後一戰