Flera viktiga sårbarheter som har upptäckts nyligen i Wi-Fi-standarden sätter nästan alla routrar, smarttelefoner och datorer där ute riskerar att få användarnas personliga information fångad, exponerad och stulen.
Det beror på att Wi-Fi's WPA2-kryptering har sprickats, som först rapporterades av ArsTechnica. WPA2 är det populära autentiseringsschemat som används för att skydda personliga Wi-Fi-nätverk och företag. WPA1 påverkas också.
UPPDATERING: Apples senaste OS-betor inkluderar korrigeringar för de nya Wi-Fi-sårbarheterna. Apples trådlösa AirPort-apparater får inte en firmwareuppdatering eftersom de inte är mottagliga för dessa attacker.
Säkerhetsforskare Mathy Vanhoef och Frank Piessens från KU Leuven University har fått krediter för att hitta de avgörande bristerna i själva Wi-Fi-standarden och inte specifika produkter.
Döpt "Key Reinstallation Attacks" och "Krack Attacks" låter de angripare tjuvlyssna på all trafik över offentliga och privata Wi-Fi-nätverk, även de som är skyddade med WPA2-krypteringen.
"Om din enhet stöder Wi-Fi påverkas den sannolikt," säger forskare.
Som svar på dessa uppenbarligen farliga exploater gav USA: s Computer Emergency Readiness Team följande varning:
US-CERT har blivit medveten om flera viktiga sårbarhetshantering i 4-vägs handskakningen av Wi-Fi Protected Access II (WPA2) säkerhetsprotokoll. Effekterna av att utnyttja dessa sårbarheter inkluderar dekryptering, paketuppspelning, kapning av TCP-anslutning, HTTP-innehållsinjektion och andra.
Observera att som problem på protokollnivå påverkas de flesta eller alla korrekta implementeringar av standarden. CERT / CC och den rapporterande forskaren KU Leuven kommer att offentliggöra dessa sårbarheter den 16 oktober 2017.
Det är oklart om bristerna för närvarande utnyttjas i naturen.
Attacker mot Linux och Android 6.0+ kan vara särskilt skadliga, med 41 procent av alla Android-enheter som är sårbara för en "exceptionellt förödande" variant av Wi-Fi-attacken.
Google är medveten om problemet och kommer att lappa alla berörda enheter "under de kommande veckorna." IPhone-, iPad- och Mac-enheter riskerar också.
Hackare kan utföra en man-i-mitt-attack genom att tvinga vissa implementeringar av WPA2-krypteringen att återanvända samma tangentkombination flera gånger.
En angripare skulle göra en kolkopia av ett WPA2-skyddat Wi-Fi-nätverk, ge sig ut MAC-adressen och ändra Wi-Fi-kanalen. Genom att utnyttja en brist i handskakningsmetoden kan en enhet tvingas förbi det ursprungliga nätverket och ansluta till den falska.
Trots att Wi-Fi-lösenord eller hemliga nycklar inte kan erhållas med den här metoden, kan hackare fortfarande lyssna på trafik och i vissa fall tvinga en anslutning att kringgå HTTPS för att avslöja användarnamn, lösenord och annan kritisk data.
En korrekt konfigurerad HTTPS-webbplats är inte benägen att dessa attacker, men forskare säger att en "betydande bråkdel" av HTTPS-webbplatser är dåligt konfigurerade. Mac, iPhones och iPads påverkas i mindre utsträckning eftersom det är svårare att dekryptera alla paket på dessa plattformar.
Fortfarande "ett stort antal paket kan ändå dekrypteras," säger forskarna.
Användare uppmanas att uppdatera sin routermaskinvara och alla klientenheter till de senaste säkerhetsfixerna och fortsätta använda WPA2. Forskare säger att "det kan hända att din router inte kräver säkerhetsuppdateringar", men jag kommer definitivt att kontrollera det med min routerleverantör.
