研究人员曝光一系列边信道和降级攻击方法,可侵入受WPA3保护的WiFi网络,密码、个人信息可被攻击者在协议握手时推测出来。
分别来自纽约大学阿布扎比分校和特拉维夫大学的两名研究人员揭示了5种不同攻击方法,可破解或中断运用最新版无线网络安全标准的路由器。两名研究人员已私下向WiFi联盟和计算机应急响应小组(CERT/CC)报告了此问题,确保供应商有时间在公开披露前进行修复。
研究人员发现的攻击方法可玩弄WPA3用于验证网络上设备的Dragonfly握手系统。利用得当的话,攻击者无需知晓密码即可登入目标网络。
具体来说,攻击者可读取WPA3本应安全加密的信息,进而盗取信用卡、密码、聊天内容、电子邮件等等敏感信息——如果没有额外采取HTTPS之类保护措施的话。
其中2种方法属于边信道攻击,所涉漏洞被统一赋予CVE-2019-9494编号,攻击者可利用之执行字典攻击破解出密码(研究人员估测,只需125美元即可对AWS实例实现该攻击。)
第一种方法是基于计时的攻击,监测路由器响应提交帧的耗时。某些路由器中,提交时间直接与网络所用密码挂钩。只要攻击者知道路由器处理该密码的具体耗时,就可以在虚拟化环境中重复模拟登录尝试,直到命中那个贴合相同响应时间的密码。
如果接入点(AP)采用基于椭圆曲线的安全组——所有WPA3设备都要求支持的功能,那就没有计时信息可泄。不过,当AP支持可选的模素数乘安全组(MODP组),响应事件就取决于所用密码了。
第二个边信道方法是观察路由器在处理密码时的内存访问模式。与基于计时的攻击类似,能够看到内存访问模式的黑客就能对另一个系统执行字典攻击,直到发现产生相同模式的特定序列。
研究人员发现的其他方法是一组降级攻击,可使攻击者迫使路由器抛弃WPA3而用更老版本(可破解)的WPA2标准。
第一个攻击更像是在WPA3 “过渡模式” 上搞社会工程方法,开启向后兼容特性。由于过渡模式旨在令WPA3和旧有仅WPA2设备都使用同一个密码,攻击者可设置一个相似的WPA2网络。当受害者试图登录该网络时,身份验证不会通过,但握手尝试就会给攻击者足够的信息用以暴力破解WPA2,最终获取目标网络的密码。
第二个降级攻击也用到了虚假网络,并利用了能令AP告诉客户端设备自己想要使用哪种安全标准的 “安全组” 功能。该攻击中,攻击者控制的AP会给受害者发送拒绝消息,令其放弃使用WPA3,要求以WPA标准再次发送登录凭证,这时攻击者就能暴力破解登录凭证了。
最后一个漏洞利用Dragonfly握手的技术复杂性及其对AP的需求。相当简单,大多数硬件每秒只能处理约16个提交帧。
处理提交帧和生成回复帧都要耗费宝贵的计算资源,尤其是在实现了(已知)边信道攻击防御措施的时候。
尽管WPA3含有cookie交换方法以防止攻击者利用虚假MAC地址伪造提交帧,想要绕过这一措施也是小菜一碟。
换句话说,只要能够伪造这些提交帧(不需要密码就可以做到),攻击者就能锁定AP,制造拒绝服务。
最后,研究人员表示,一个可破解EAP-PWD密码的漏洞没有公开。在供应商和网络管理员有更多时间更新路由器和AP接入点之前,他们不会透露任何漏洞细节。
其他漏洞的具体信息在两位研究人员的学术论文《Dragonblood:WPA3 SAE 握手安全分析》中均有论述。
WiFi接入点不以明文形式传输密码,但依赖所谓 “四次握手” 的一个系统。
这种方式下,客户端和接入点配备网络密码的散列值。每边生成一对随机数,然后以之编码该密码,交换编码结果。再将这些值相乘,如果均使用相同的密码散列值,结果应是相同的。
这样一来,无需无线发送密码或其散列值,接入点和客户端就能进行身份验证了。
研究报告:
https://papers.mathyvanhoef.com/dragonblood.pdf
WPA2四次握手阐述:
https://medium.com/asecuritysite-when-bob-met-alice/hello-to-wpa-3-ae8b9c365b95