Hacker nepotrebuje absolútne nič: Nový útok WiKI-Eve môže kradnúť číselné heslá cez WiFi
Bezpečnostní experti upozorňujú na novú bezpečnostnú slabinu, ktorá umožňuje získať dáta, ktoré sa posielajú medzi vašim smartfónom a Wi-Fi routerom.
Online priestorom sa šíri nová forma útoku, ktorú bezpečnostní experti nazvali “WiKI-Eve”. Cez tento útok môžu kyberzločinci zachytiť prenos čistého textu medzi smartfónom a moderným Wi-Fi routerom a odhaliť individuálne stlačenia číselnej klávesnice s presnosťou až 90%. Dokážu teda ukradnúť čisto číselné heslá, prípadne údaje z bankových a iných kariet.
Tento útok zneužíva funkciu BFI, ktorá sa objavila v roku 2013 s príchodom Wi-Fi 5 štandardu. Táto funkcia umožňuje zariadeniam poslať routeru dáta o svojej polohe, vďaka čomu môže router vyslať signál s väčšou presnosťou. Problém je, že informácie, ktoré sa v rámci funkcie BFI posielajú, sú vo forme čistého textu, teda nijak špeciálne nechránené. V praxi to znamená, že sa ku nim môže útočník dostať a zneužiť ich bez potreby špeciálnych dešifrovacích nástrojov.
Bezpečnostnú medzeru si prvýkrát všimli výskumníci z Číny a Singapuru, informuje portál Bleeping Computer. Vo svojom výskume zistili, že cez medzeru môže útočník odhaliť stlačenia na číselnej klávesnici v 90% prípadov. Rozlúsknuť šesťmiestne číselné heslo dokázali v 85% prípadov a rozlúštiť komplexné heslo v približne 66% prípadov.
Hacker nepotrebuje špeciálne nástroje
Hacker môže získať vaše heslo len ak používate číselné znaky, na iné táto medzera nefunguje. Bezpečnostní experti ale poukazujú na to, že až 16 z 20 najpoužívanejších hesiel sú len číselnými kombináciami. WiKI-Eve je navrhnutý tak, aby dokázal zachytiť WiFi signály počas zadávania hesla. Znamená to, že ide o útok v reálnom čase, teda hacker musí zasiahnuť keď práve používate smartfón a zadávate do neho heslo. Útočník zároveň musí identifikovať svoj cieľ, napríklad pomocou MAC adresy. V tomto smere sa vyžaduje nejaká príprava na vykonanie útoku.
“Útočník dokáže v praxi získať všetky potrebné dáta pred útokom tak, že si spojí to aké stránky navštevujú odlišné MAC adresy a správanie samotného užívateľa. Tým by mohol útočník potenciálne zistiť, ktorá MAC adresa patrí jeho obeti,” vysvetľujú výskumníci.
Na monitorovanie toho čo na internete obeť robí použije útočník softvér ako napríklad Wireshark. Keď obeť stlačí na smartfóne klávesu, ovplyvní to WiFi antény tak, že vzniká špecifický signál. Zaznamenaný signál však môže rozmazať rozdiely medzi jednotlivými stlačeniami kláves. Výskumníci však natrénovali umelú inteligenciu na rozpoznávanie jednotlivých stlačení kláves.
Neprehliadnite
Výskumníci ďalej poukazujú na to, že vzdialenosť útočníka a obete je mimoriadne dôležitá. Keď sa útočník vzdialil z jedného metra na desať, úspešnosť všetkých správnych odhadov klesla o 23%. Vedci okrem tradičných experimentov zvolili aj scenár z praxe. Útok WiKI-Eve dokázal odhaliť heslá do platobnej aplikácie WeChat Pay so 65,8% presnosťou. Zároveň sa zistilo, že útočník má približne 50% šancu že uhádne vaše heslo v rámci piatich pokusov, po ktorých sa platobná aplikácia uzamkne.
Výskumníci však demonštrovali metódu útoku, ktorá si nevyžaduje hacknutie prístupového bodu. Stačí len monitorovať premávku na sieti a mať k dispozícii model strojového učenia. Autori výskumu v tomto smere poukazujú na potrebu zabezpečiť aj tento typ komunikácie medzi zariadením a Wi-Fi routerom.
Komentáre