Вони дозволяють зловмисникам відстежувати трафік Wi-Fi між комп'ютерами, смартфонами і точками доступу.

Набір вразливостей отримав загальне ім'я KRACK (скорочення від Key Reinstallation Attack). Вона була виявлена в рамках закритого дослідження кілька тижнів тому, після чого скоординовано опубліковано в 8 ранку понеділка за часом східного узбережжя США. Експертна група US-CERT Інституту програмної інженерії Університету Карнегі — Меллона і дослідник К. У. Лейвен описує дослідження так:

«US-CERT дізнався про декілька ключових керуючих уразливість в протоколі безпеки Wi-Fi Protected Access II (WPA2), що працює за принципом чотиристороннього рукостискання. За допомогою використання цих вразливостей можна домогтися розшифровки, перехоплення пакетів, злому з'єднання TCP, вбудовування HTTP-контенту і так далі. Варто відзначити, що мова йде про проблеми на рівні протоколу, а тому вони торкнуться переважна більшість правильних реалізацій цього стандарту».

За словами дослідника, що описує уразливості, працюють вони за допомогою «чотиристороннього рукостискання», під час якого встановлюється ключ для шифрування трафіку. На етапі третього кроку ключ може бути повторно відправлений безліч разів, і як раз під час таких відправок криптографічне слово може бути певним способом застосовано для повного зняття шифрування. Сторінку одного з дослідників проблеми можна виявити на Github.

Учасник проекту повідомив журналістам ArsTechnica, що Aruba і Ubiquiti, продають точки доступу великим корпораціям і урядовим організаціям, вже випустили оновлення для зняття вразливостей, які проходять під кодовими іменами: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

У найближчі тижні і місяці напевно вийдуть оновлення і для безлічі інших точок доступу і пристроїв, але багато з існуючих залишаться без латок. Поки ж тим, хто турбується про безпеку своїх даних, краще уникнути використання Wi-Fi або, принаймні, задіяти додаткові протоколи шифрування даних на зразок HTTPS, а також розглянути можливість використання VPN в якості додаткової міри захисту.