的一件事,让wi - fi的工作能力大量数据分解成小块小块合并成更大的块,根据网络的需要在任何给定的时刻。这些平凡的网络管道特性,事实证明,被窝藏可以利用的漏洞向用户恶意网站或利用或篡改网络连接设备,新公布的研究显示。
,研究数学Vanhoef发现漏洞,wi - fi规范或规范的方式实现大量的设备。Vanhoef称为漏洞FragAttacks,简称分裂和聚合的攻击,因为他们都涉及到框架碎片或帧聚合。一般来说,他们允许人们广播范围内注入的帧选择网络受WPA-based加密保护。
坏消息
评估脆弱性的影响不是直接的。FragAttacks允许数据注入wi - fi交通,但他们不可以漏出任何东西。这意味着FragAttacks不能用于读取密码或其他敏感信息Vanhoef以前的无线网络攻击的方式,布莱恩,做到了。但事实证明的vulnerabilities-some wi - fi的一部分,自1997年发布之后,可以利用造成其他损害,特别是如果与其他类型的黑客。“好从未有人能够把包放到你的目标网络或网络上的设备,”迈克Kershaw,无线网络安全专家和开发人员的开源Kismet无线嗅探和id,在一封电子邮件中写道。“在某些方面,这些都是没有比使用一个未加密的访问点咖啡shop-someone能做的你也一样,trivially-but因为他们可以发生在网络你否则认为是安全的,可能配置为信任的网络,这当然是坏消息。”
他补充道:“总体而言,我认为他们给人已经瞄准攻击一个个人或公司站稳脚跟之前他们没有,这绝对是有效的,但可能不构成巨大风险如驾车袭击普通人。”
当缺陷披露上周在一个9个月的全行业的努力,目前尚不清楚在许多情况下哪些设备是脆弱的弱点和漏洞,如果有的话,收到安全更新。这几乎是必然的,许多无线设备永远不会是固定的。
流氓DNS注入
最严重的漏洞之一FragAttacks套件驻留在wi - fi规范本身。跟踪cve - 2020 - 24588,缺陷可以被利用的方式迫使wi - fi设备使用一个流氓DNS服务器,进而可以交付用户恶意网站而不是他们的目的。从那里,黑客可以读取和修改任何加密流量。流氓DNS服务器还允许黑客来执行DNS重新绑定攻击,恶意网站操作浏览器攻击其他设备连接到同一个网络。
介绍了流氓DNS服务器当攻击者注入一个ICMPv6路由器广告无线网络流量。路由器通常问题这些公告,所以网络上的其他设备可以找到它们。注入广告指示所有设备使用DNS攻击者指定的IPv6与IPv4地址的查找。
视频Vanhoef发表一项利用演示显示攻击者吸引目标网站将路由器广告在一个图像。
这是一个视觉概述:
Vanhoef解释说,在一封电子邮件中说,“IPv6路由器广告放在TCP数据包的有效载荷(即数据部分)。这个数据是默认情况下传递给应用程序,创建了TCP连接。在演示中,浏览器,这是期待一个图像。这意味着在默认情况下,客户不会过程IPv6路由器广告而是过程TCP负载应用程序数据”。
Vanhoef表示,它可以执行攻击没有用户交互当目标的访问点是容易的cve - 2021 - 26139的12个漏洞构成FragAttacks包。安全漏洞源于7.1 NetBSD内核缺陷导致wi - fi接入点可扩展认证协议(美联社)在局域网帧其他设备即使发送方还没有经过身份验证的美联社。
跳过它是安全的,但是对于那些好奇的特定软件缺陷和原因视频演示使用恶意的形象,Vanhoef解释道:
使受害者处理TCP负载(即数据部分)作为一个单独的数据包,wi - fi的聚合设计缺陷是滥用。即攻击者截获恶意TCP数据包在wi - fi层和设置“聚合”国旗的wi - fi头。因此,接收者将wi - fi帧分割成两个网络数据包。第一个网络包包含原始的TCP报头的一部分,就会被丢弃。第二包与TCP负载,我们确信将对应ICMPv6包,因此,ICMPv6路由器广告现在是作为一个单独的包处理的受害者。所以接近受害者需要设置“聚合”wi - fi国旗,这样恶意TCP包将被分成两个接收器。
设计缺陷是,敌人可以改变/设置“聚合”国旗接收者没有注意到这一点。这个标志应该被验证,这样接收器可以检测它是否已被修改。
可以执行攻击没有用户交互访问点时容易cve - 2020 - 26139。四个测试家里的路由器,其中两个有这个弱点。似乎大多数基于linux的路由器都受到这种脆弱性的影响。详细研究探讨如何能解释,而不是包括ICMPV6路由器广告恶意TCP包,它可以包含在一个未加密的握手消息(美联社将期待客户端之后,对手可以再设置“聚合”标志等)。
打一个洞的防火墙
四个12漏洞构成FragAttacks实现缺陷,这意味着它们源于错误时,软件开发人员引入基于wi - fi规范编写代码。攻击者可以利用他们对接入点绕过一个关键的安全利益。
除了允许多个设备共享一个网络连接,路由器阻止的传入流量达到连接设备,除非设备要求。这种防火墙是通过使用网络地址转换,或者NAT,地图私有IP地址,美联社分配每个设备在本地网络上一个单一的IP地址,美联社使用在互联网上发送数据。
结果是,路由器转发数据连接设备只有当他们曾请求从一个网站,在互联网上邮件服务器或其他机器。当其中一个机器试图发送未经请求的数据到设备后面的路由器,路由器会自动丢弃它。这样的安排不是完美的,但它确实提供了一个至关重要的防御保护数以十亿美元计的设备。
Vanhoef想出了如何利用这四个漏洞,允许攻击者,正如他所说,“一个洞通过路由器的防火墙。“能够直接连接到设备在防火墙后面,网络攻击者可以发送恶意代码或命令。
在一个演示视频中,Vanhoef利用漏洞来控制一个物联网设备,特别是远程打开或关闭智能电源插座。通常,NAT将防止设备在网络互动的套接字,除非套接字第一次发起连接。实现利用消除这一障碍。
在一个单独的演示,Vanhoef显示了漏洞允许设备在互联网上发起一个连接计算机运行Windows 7,一个操作系统,停止接收安全更新年前。研究人员利用这种能力来获得完全控制电脑发送恶意代码利用了关键的漏洞被称为BlueKeep。“这意味着当一个接入点是脆弱的,很容易攻击的客户!”Vanhoef写道。“所以我们滥用wi - fi实现缺陷的访问点作为第一步,以便随后攻击(过时的)客户”。
让你修复
尽管Vanhoef花九个月协调补丁和十多个硬件和软件制造商,不容易找出哪些设备或软件漏洞很容易,和那些脆弱的产品,哪些已经收到修复。
这个页面从几家公司提供了产品的地位。更全面的列表的报告在这里。其他报告分别从各自的供应商。寻找的漏洞:
设计缺陷:
- cve - 2020 - 24588:聚合攻击(接受non-SPP A-MSDU帧)
- cve - 2020 - 24587:混合键攻击(重组片段加密在不同键)
- cve - 2020 - 24586:片段缓存攻击时(不清除记忆的碎片(重新)连接到一个网络)
实现漏洞允许注入明文帧:
- cve - 2020 - 26145:接受明文广播片段作为完整的帧(在一个加密的网络)
- cve - 2020 - 26144:接受明文A-MSDU帧从一个RFC1042头开始,EtherType EAPOL(在一个加密的网络)
- cve - 2020 - 26140:接受明文数据帧在一个受保护的网络
- cve - 2020 - 26143:接受支离破碎的明文数据帧在一个受保护的网络
其他实现缺陷:
- cve - 2020 - 26139:即使转发EAPOL帧发送方还没有经过身份验证的(应该只影响APs)
- cve - 2020 - 26146:组装加密片段连任的数据包数量
- cve - 2020 - 26147:组装混合加密/明文碎片
- cve - 2020 - 26142:处理分散帧作为完整的帧
- cve - 2020 - 26141:不验证TKIP麦克风的支离破碎的帧
最有效的方式来减轻FragAttacks带来的威胁是安装所有可用的更新,修复漏洞。用户将不得不这样做在每个脆弱的电脑,路由器或其他物联网设备。很可能影响设备的大量永远不会接受一个补丁。
最好的缓解是确保网站总是使用HTTPS连接。这是因为加密HTTPS提供了极大地减少了损失,可以当一个恶意的DNS服务器将受害者一个假网站。
网站使用HTTP严格交通安全总是使用这种保护,但Vanhoef说,只有约20%的web这。浏览器扩展HTTPS无处不在已经是一个好主意,和他们所提供的缓解FragAttacks使它们更有价值。
如前所述,FragAttacks不太可能被利用wi - fi的绝大多数用户,由于利用需要高度的技巧以及proximity-meaning 100英尺内半英里,这取决于设备用于目标。漏洞高威胁网络所使用的高价值目标,如零售连锁店,大使馆,或公司网络安全是关键,然后很可能只有在与其他利用音乐会。
更新可用时,务必安装它们,但除非你在后面的这个组中,记住,自动下载和其他的类型的攻击可能会构成更大的威胁。
89年读者评论
——路由器只是洗牌数据包从入站接口对应的出站接口导致目的地址。
——防火墙规则集应用于流来决定如果流应该被允许通过。
- NAT转换源/目的地址支持使用私人,不可路由的地址在互联网上。(和其他场景,但这是最常见的情况。
这些都是独立的,但这一句话将它们放在一起。我得到,对于大多数家庭用户都是由相同的ISP提供的魔术盒,但是谁能够阅读和理解这个故事可以了解基本的网络解释正确,也很可能有更复杂的比“魔盒”的方法。
当我网络我总是假定网络连接到完全妥协,所以我所有的设备正确使用这些东西,防火墙在这种情况下,这些攻击几乎一文不值。
只有新版本的Android支持点的在系统层面上,谷歌最近添加了支持度铬,所以如果你的设备运行一个旧版本的Android你可能想让DoH在Chrome中感到安全。
至于Firefox支持DoH多年。我已经设置network.trr。模式2:配置额外的安全。3更好: https://wiki.mozilla.org/Trusted_Recursive_Resolver
最后一次编辑Artem s Tashkinov2021年5月21日,星期五7:57
物联网没有一个选项来升级固件和OEM的支持是一个坏主意,不幸的是数以百万计的设备。
的时刻。但是,如果一些邪恶集团决定让一个易于使用的包,你知道无聊脚本小子要给它一个去踢。
不幸的是,受欢迎的Mac防火墙小金色飞贼呈现几乎无法使用,如果你打开Firefox的DoH的实现。苹果宣布的DoH即将macOS但直到本地实施,小告密者不能做任何事情。(是的,我问他们。)
啊,也许我们应该回到落后于以太网电缆在房子周围。(“不,胡须!”)至少从走一个过场那么我们就会是安全的。
我认为这是苹果的一个原因退出无线基站业务;他们意识到这是很难安全所以不想处理这个纠结的混乱。
现在耐心等待不可避免的“这里有一些推荐的WiFi接入点”Arsticle。
* *刷新页面
它总是坏当标准有缺陷,但是基础设施是最坏的打算。老标准,会有很多东西,人们甚至不考虑做的人早已离开(或死亡)或设立的公司和组织不再存在。
的时刻。但是,如果一些邪恶集团决定让一个易于使用的包,你知道无聊脚本小子要给它一个去踢。
不幸的是,受欢迎的Mac防火墙小金色飞贼呈现几乎无法使用,如果你打开Firefox的DoH的实现。苹果宣布的DoH即将macOS但直到本地实施,小告密者不能做任何事情。(是的,我问他们。)
啊,也许我们应该回到落后于以太网电缆在房子周围。(“不,胡须!”)至少从走一个过场那么我们就会是安全的。
我认为这是苹果的一个原因退出无线基站业务;他们意识到这是很难安全所以不想处理这个纠结的混乱。
现在耐心等待不可避免的“这里有一些推荐的WiFi接入点”Arsticle。
* *刷新页面
一双卷缩机,装注册插孔- 45的连接器,和一卷Cat6A或新奇的Cat8如果你被Fancypants先生或个别电缆,和一个wililngness安装面板和运行网络布线在墙壁或者一个大的塑料袋夹走了。
我知道这可能是正确的,互联网是比我能想象。确认偏见的反义词是什么?我只是访问我所有的书签页,他们都使用https。
我知道这可能是正确的,互联网是比我能想象。确认偏见的反义词是什么?我只是访问我所有的书签页,他们都使用https。
的20%是hst,而不是HTTPS。
编辑:希望添加一些清晰。
最后一次编辑j.k.2021年5月21日星期五上午8:20
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
的时刻。但是,如果一些邪恶集团决定让一个易于使用的包,你知道无聊脚本小子要给它一个去踢。
不幸的是,受欢迎的Mac防火墙小金色飞贼呈现几乎无法使用,如果你打开Firefox的DoH的实现。苹果宣布的DoH即将macOS但直到本地实施,小告密者不能做任何事情。(是的,我问他们。)
啊,也许我们应该回到落后于以太网电缆在房子周围。(“不,胡须!”)至少从走一个过场那么我们就会是安全的。
我认为这是苹果的一个原因退出无线基站业务;他们意识到这是很难安全所以不想处理这个纠结的混乱。
现在耐心等待不可避免的“这里有一些推荐的WiFi接入点”Arsticle。
* *刷新页面
一双卷缩机,装注册插孔- 45的连接器,和一卷Cat6A或新奇的Cat8如果你被Fancypants先生或个别电缆,和一个wililngness安装面板和运行网络布线在墙壁或者一个大的塑料袋夹走了。
我的房子完全六类连线与可爱的梯形渠道从上到下……但它并没有为ipad和iphone。
我的物联网设备没有使用wifi除了恒温器和智能议长。我的设备接收优秀的制造商的支持,尽管不可否认我不是人的类型连接的所有事情为了连接的所有事情。
你也会在我的房子里要利用这一点,因为我的无线网络不流血以外由于房子的建设。
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我发现这是一个好主意购买路由器每隔2 - 3年。无线标准变化,新的支持2.5/5 gb网络以及更好的覆盖。
这似乎正确的和预期的行为,不过,不是吗?
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我发现这是一个好主意购买路由器每隔2 - 3年。无线标准变化,新的支持2.5/5 gb网络以及更好的覆盖。
确定。我也做。但我跑得dd - wrt。我想知道关于更新. .
嗯,当然,它确实大有帮助。但是让我们面对现实吧,在理想的情况下是不平凡的正确安装这样的连接,特别是在老房子。或者在房子你有路由通过地下室,已经完成了天花板“牵线”离开。影响正确也不是微不足道的。
在很多情况下只是运行最重要的路线用铁丝,剩下的无线网络是更明智的。
有一个合适的防火墙运行pfSense snort或suricata还很长一段路,但你不能指望普通用户得到正常运行和配置。
你也会在我的房子里要利用这一点,因为我的无线网络不流血以外由于房子的建设。
你住在某种法拉第笼地堡?
你也会在我的房子里要利用这一点,因为我的无线网络不流血以外由于房子的建设。
你住在某种法拉第笼地堡?
摇上具体的可能吗?虽然这将是奇怪的住宅建设。
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我发现这是一个好主意购买路由器每隔2 - 3年。无线标准变化,新的支持2.5/5 gb网络以及更好的覆盖。
确定。我也做。但我跑得dd - wrt。我想知道关于更新. .
dd - wrt的最大的优点是它最大的弱点——设备它覆盖的数量。而通常有多个新构建的dd - wrt在给定的时间,特别频繁,设备坏了几个月。为我自己的设备,关于- 1900 - acs,没有一个稳定的3月17日以来的构建。
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我发现这是一个好主意购买路由器每隔2 - 3年。无线标准变化,新的支持2.5/5 gb网络以及更好的覆盖。
你,先生,是少数。绝大多数的家庭路由器所有者不会取代路由器除非打破的东西。即使他们知道“固件”,他们不会更新,以免打破的东西似乎工作好。他们将接受默认路由器固件更新后因为路由器制造商给他们微薄的技术支持和说明如何保存和恢复设置。“很可能是打开,也许远程管理。我们很幸运,大多数使用WPA2无线安全。我扫描附近热点的列表,我惊喜,似乎都是加密的,这是一个大的变化从早期当大多数没有。
现在耐心等待不可避免的“这里有一些推荐的WiFi接入点”Arsticle。
* *刷新页面
我知道Ubiquiti得到很多垃圾在这里,但是我很满意我的设置和他们通常相当快速的与这些类型的更新。
编辑:尽管在这种情况下似乎更多的客户问题小(或没有)与美联社。
最后一次编辑Raniz2021年5月21日,星期五九11
是什么必须在100 . .2640英尺?我的电脑显示12个无线接入点连接范围内。如果其中一个是玩弄了黑客在另一个大陆FragAttack以外的使用一些漏洞,不会允许FragAttacks反对我的无线路由器(s) ?即一个需要特殊硬件FragAttacks,还是妥协WiFi路由器足够?
你也会在我的房子里要利用这一点,因为我的无线网络不流血以外由于房子的建设。
你住在某种法拉第笼地堡?
不需要Faraday-caged如果是掩体——足够钢铁、混凝土和土的工作。
我想知道如何有效的铝墙板,屏幕窗口和门会在WiFi frequncies屏蔽射频工作。<搜索>是否可能工作: https://www.signalboosters.com/blog/top…i讯号/
说它不是如此!
说真的,我需要听到的一切都很好。
加上我所有其他wifi-IoT东西我已经买了十年酷——那都是安全的,对吧?
/秒
当联邦调查局建议无线设备都放在一个不同的网络比我们重要的电脑,他们可能是正确的?
我甚至不知道,哎,点周围的事情我一直在寻找我的isp DNS恶作剧。这就是为什么Ars的评论仍然是最好的。
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我没有任何更新可用自两年前我安装一下。我相信这意味着没有什么可担心的。
/秒
这是不公平的:第三方现场是路由器更健壮。不得不请加上,如果你想使用供应商认可的升级方法,事实上,路由器没有屏幕,电池,或细胞调制解调器意味着把你扔掉和购买一个新的为了接收新固件与不同的错误比它便宜手机……
说它不是如此!
说真的,我需要听到的一切都很好。
加上我所有其他wifi-IoT东西我已经买了十年酷——那都是安全的,对吧?
/秒
当联邦调查局建议无线设备都放在一个不同的网络比我们重要的电脑,他们可能是正确的?
与花花公子后见之明,它很神奇,我们发明了这个巨大的聚集的东西我们叫互联网,然后决定是一个好主意来连接我们的金融系统、医疗系统和其他关键基础设施。这是一件好事,比如汽油管道安全的和无懈可击的攻击。/秒
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我发现这是一个好主意购买路由器每隔2 - 3年。无线标准变化,新的支持2.5/5 gb网络以及更好的覆盖。
确定。我也做。但我跑得dd - wrt。我想知道关于更新. .
dd - wrt的最大的优点是它最大的弱点——设备它覆盖的数量。而通常有多个新构建的dd - wrt在给定的时间,特别频繁,设备坏了几个月。为我自己的设备,关于- 1900 - acs,没有一个稳定的3月17日以来的构建。
这是确切的模型我也有。我想我真是倒霉。等一下,今年3月?也许还有希望。
我的总个新手的理解是,你不应该得到特别可怕的衰减2.4 ghz的东西;更多潜在的麻烦5 ghz,新热点6的东西可能没有那么多,质量不错但普通家庭有线布线哄(显然你可以得到几乎所有专业哄从直流到白天,如果你有现金;但这并不是在你的墙是什么);但我远非一个主题专家和承认射频基本上是巫术。
当然,这将是可笑荒谬,因为我们有这些很酷的,成熟的,便宜,如以太网标准;但它会有趣的正因为我能(可以方便的设备,很难停下来,没有提供硬)。
大多数人我知道是谁不工作在它使用无论他们的ISP提供,一般使用默认设置ISP规定。光明的一面,这意味着所需的全部地址在这个在很多情况下是主要的isp更新CPE /替换。这也是坏消息。
这是不公平的:第三方现场是路由器更健壮。不得不请加上,如果你想使用供应商认可的升级方法,事实上,路由器没有屏幕,电池,或细胞调制解调器意味着把你扔掉和购买一个新的为了接收新固件与不同的错误比它便宜手机……
安卓更新已经显著改善过去这一年…我的三星和摩托罗拉的设备。
大多数人我知道是谁不工作在它使用无论他们的ISP提供,一般使用默认设置ISP规定。光明的一面,这意味着所需的全部地址在这个在很多情况下是主要的isp更新CPE /替换。这也是坏消息。
就像我说的,我们是失败的。
物联网没有一个选项来升级固件和OEM的支持是一个坏主意,不幸的是数以百万计的设备。
数以十亿计的设备,因为你知道,大多数设备失去支持几年后人们继续使用它们。
最后一次编辑raxadian2021年5月21日,星期五50
是的。让我们面对现实吧,绝大多数路由器将永远不会得到一个更新。许多人太老了。很多都是由一些中国OEM,只是不在乎。甚至支持的东西依赖于用户的补丁。多数不会。
我发现这是一个好主意购买路由器每隔2 - 3年。无线标准变化,新的支持2.5/5 gb网络以及更好的覆盖。
确定。我也做。但我跑得dd - wrt。我想知道关于更新. .
dd - wrt的最大的优点是它最大的弱点——设备它覆盖的数量。而通常有多个新构建的dd - wrt在给定的时间,特别频繁,设备坏了几个月。为我自己的设备,关于- 1900 - acs,没有一个稳定的3月17日以来的构建。
这是确切的模型我也有。我想我真是倒霉。等一下,今年3月?也许还有希望。
在这种情况下,我可以给你准确的一个。最近仍然适用:
dd - wrt v3.0-r46069性病(03/17/21)
否则你得到很多麻烦的最新构建和保持好奇“只是我吗?”。注意,我只是更新路由器上周末,所以有可能构建之后是固定的。但是因为它是由于车司机从Marvell,可能不会。
你必须登录或创建一个帐户置评。