Descobertas novas falhas no protocolo de segurança WPA3
6 Agosto, 2019Ainda muito pouco utilizado pelo utilizador doméstico, e a maioria das vezes está a ser implementado em empresas, o protocolo de segurança WPA3, sucessor do WPA2, está obviamente recheado de bugs.
Em Abril passado, dois pesquisadores de segurança, Eyal Ronen e Mathy Vanhoef, revelaram cinco vulnerabilidades no protocolo WPA3. Duas dessas vulnerabilidades permitiram um ataque de downgrade, outros dois por handshake e o último por negação de serviço (DDoS).
Os protocolos WPA tornam possível proteger as comunicações sem fio entre dois dispositivos, e a esmagadora maioria dos nossos routers está vinculada aos nossos computadores, smartphones e outros tablets por Wi-Fi protegido por WPA2. O protocolo WPA3, que foi lançado em Janeiro de 2018 pela WiFi Alliance, forneceu, além de um novo padrão de criptografia de 128 bits da WPA3-Personal, autenticação simultânea de iguais (SAE, Autenticação Simultânea de Iguais ).
Recomendações que causam o problema
As duas novas falhas descobertas pela dupla de pesquisa encontram a sua origem nas novas recomendações do consórcio WiFi Alliance para fabricantes de equipamentos para mitigar os ataques revelados em Abril. A primeira falha, CVE-2019-13377, deriva do uso de curvas criptográficas de Brainpool em vez de curvas elípticas P-521 – pesquisadores descobriram que um ataque brute force após uma operação complexa tornou possível descobrir a senha da rede.
A segunda falha, CVE-2019-13456, diz respeito à implementação do protocolo EAP-pwd na estrutura Free-RADIUS usada por muitos fabricantes para fornecer conectividade Wi-Fi. Este sistema de autenticação não está presente dentro do protocolo WP3, apenas por razões práticas, tendo sido previamente integrado no WPA e WPA2. Os pesquisadores descobriram fugas de informações na autenticação que permitiam encontrar a senha.
Não há dúvida de que a Wi-Fi Alliance ainda tem muito trabalho a fazer para aperfeiçoar o protocolo WPA3.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
