La seguridad de WPA3 vuelve a ponerse en entredicho: detectan dos nuevos errores en protocolo de seguridad

La seguridad de WPA3 vuelve a ponerse en entredicho: detectan dos nuevos errores en protocolo de seguridad
10 comentarios Facebook Twitter Flipboard E-mail

El día 26 de junio de 2018 se hacía oficial el nuevo protocolo de seguridad para las conexiones WiFi, WPA3. Sucesor de WPA2, y nacido para solventar los errores de seguridad anteriormente vistos en el mismo, este protocolo tampoco parece librarse de las vulnerabilidades de seguridad.

En abril del pasado año, un equipo de investigadores aseguró haber descubierto vulnerabilidades críticas en WPA3 y, ahora, poco más de un año después, el mismo equipo asegura haber descubierto otros dos errores adicionales.

Dos nuevos problemas a la vista

Wifi

Mathy Vanhoef y Eyal Ronen han sido los encargados (al igual que en la anterior ocasión), de descubrir dos nuevos errores en WPA3. El primer error, CVE-2019-13377, afecta al mecanismo (conocido como Dragonfly) de intercambio de claves a la hora de que un usuario se autentique en un punto de acceso WPA3.

"Descubrimos que el uso de las curvas de Brainpool introduce una segunda clase de fugas de canal lateral en el apretón de manos Dragonfly de WPA3. Confirmamos la nueva fuga de Brainpool en la práctica contra la última versión de Hostapd, y pudimos forzar la contraseña mediante la información filtrada".

En cuanto al segundo error, CVE-2019-13456, afecta a la implementación de EAP-pwd (un protocolo de autenticación bastante usado en los estándares WPA) en el marco FreeRadius. En otras palabras, hay una fuga de información a la hora de realizar el proceso de autenticación, lo que permite a los atacantes recuperar las contraseñas de los usuarios.

Wpa

Del mismo modo, el equipo criticó que los estándares de WiFi Alliance son cerrados, impidiendo así que los desarrolladores puedan contribuir y reducir el número de vulnerabilidades.

Recordar aquí, que la vulnerabilidad de 'Dragonfly' es la principal vulnerabilidad de WPA3, siendo bastante difícil de corregir por completo, y permitiendo a atacantes acceder a la red WiFi sin conocer la contraseña del usuario. La propia WiFi Alliance ha admitido dichos errores, y promete estar trabajando para mejorar la seguridad de su estándar.

Vía | ZDnet

Comentarios cerrados
Inicio