Online Brute-Force attackEdit
Im Dezember 2011 berichtete der Forscher Stefan Viehböck über einen Design – und Implementierungsfehler, der Brute-Force-Angriffe auf PIN-basiertes WPS in WPS-fähigen Wi-Fi-Netzwerken möglich macht. Ein erfolgreicher Angriff auf WPS ermöglicht Unbefugten den Zugriff auf das Netzwerk, und die einzige effektive Problemumgehung besteht darin, WPS zu deaktivieren., Die Sicherheitsanfälligkeit konzentriert sich auf die Bestätigungsnachrichten, die zwischen dem Registrar und Enrollee gesendet werden, wenn versucht wird, eine PIN zu validieren, Dies ist eine achtstellige Nummer, die zum Hinzufügen neuer WPA-Anmeldungen zum Netzwerk verwendet wird. Da die letzte Ziffer eine Prüfsumme der vorherigen Ziffern ist, gibt es in jedem PIN sieben unbekannte Ziffern, die 107 = 10.000.000 mögliche Kombinationen ergeben.
Wenn ein Teilnehmer versucht, über eine PIN Zugang zu erhalten, meldet der Registrar die Gültigkeit der ersten und zweiten Pinhälfte separat., Da die erste Hälfte der Pin aus vier Ziffern (10.000 Möglichkeiten) besteht und die zweite Hälfte nur drei aktive Ziffern (1000 Möglichkeiten) hat, werden höchstens 11.000 Vermutungen benötigt, bevor die PIN wiederhergestellt wird. Dies ist eine Reduzierung um drei Größenordnungen von der Anzahl der PINs, die getestet werden müssten. Infolgedessen kann ein Angriff in weniger als vier Stunden abgeschlossen sein., Die Leichtigkeit oder Schwierigkeit, diesen Fehler auszunutzen, ist implementierungsabhängig, da Wi-Fi-Routerhersteller sich gegen solche Angriffe verteidigen können, indem sie die WPS-Funktion nach mehreren fehlgeschlagenen PIN-Validierungsversuchen verlangsamen oder deaktivieren.
Ein junger Entwickler aus einer kleinen Stadt im Osten von New Mexico hat ein Tool entwickelt, das diese Sicherheitsanfälligkeit ausnutzt, um zu beweisen, dass der Angriff machbar ist. Das Tool wurde dann von Tactical Network Solutions in Maryland für 1,5 Millionen Dollar gekauft. Sie geben an, dass sie seit Anfang 2011 von der Sicherheitsanfälligkeit gewusst und diese genutzt hätten.,
Bei einigen Geräten führt das Deaktivieren von WPS in der Benutzeroberfläche nicht dazu, dass die Funktion tatsächlich deaktiviert wird, und das Gerät bleibt anfällig für diesen Angriff. Für einige dieser Geräte wurden Firmware-Updates veröffentlicht, mit denen WPS vollständig deaktiviert werden kann. Anbieter können die Sicherheitsanfälligkeit auch patchen, indem sie eine Sperrfrist hinzufügen, wenn der Wi-Fi-Zugangspunkt einen Brute-Force-Angriff erkennt, der die PIN-Methode lange genug deaktiviert, um den Angriff unpraktisch zu machen.,
Offline Brute-Force attackEdit
Im Sommer 2014 entdeckte Dominique Bongard den sogenannten Pixie Dust Attack. Dieser Angriff funktioniert nur auf der Standard-WPS-Implementierung mehrerer drahtloser Chiphersteller, einschließlich Ralink, MediaTek, Realtek und Broadcom. Der Angriff konzentriert sich auf einen Mangel an Randomisierung bei der Erzeugung der E-S1 und E-S2 „geheimen“ Nonces. Wenn Sie diese beiden Nonces kennen, kann die PIN innerhalb weniger Minuten wiederhergestellt werden. Ein Tool namens pixiewps wurde entwickelt und eine neue Version von Reaver wurde entwickelt, um den Prozess zu automatisieren.,
Da sowohl der Access Point als auch der Client (enrollee bzw. Registrar) nachweisen müssen, dass sie die PIN kennen, um sicherzustellen, dass der Client keine Verbindung zu einem Rogue AP herstellt, hat der Angreifer bereits zwei Hashes, die jede Hälfte der PIN enthalten, und alles, was sie brauchen, ist, die tatsächliche PIN Brute-Force. Der Access Point sendet zwei Hashes, E-Hash1 und E-Hash2, an den Client, was beweist, dass er auch die PIN kennt. E-Hash1 und E-Hash2 sind Hashes von (E-S1 | PSK1 | PKe | PKr) bzw. (E-S2 | PSK2 | PKe | PKr)., Die Hashing-Funktion ist HMAC-SHA-256 und verwendet den „authkey“, den Schlüssel zum Hash der Daten.
Physische Sicherheitsproblemedit
Alle WPS-Methoden sind anfällig für die Verwendung durch einen nicht autorisierten Benutzer, wenn sich der drahtlose Zugangspunkt nicht in einem sicheren Bereich befindet. Viele Wireless Access Points haben Sicherheitsinformationen (wenn sie werksseitig gesichert sind) und die WPS-PIN auf ihnen gedruckt; Diese PIN ist auch oft in den Konfigurationsmenüs des Wireless Access Points zu finden., Wenn diese PIN nicht geändert oder deaktiviert werden kann, besteht das einzige Mittel darin, ein Firmware-Update zu erhalten, damit die PIN geändert oder der drahtlose Zugangspunkt ersetzt werden kann.
Es ist möglich, eine drahtlose Passphrase mit den folgenden Methoden ohne spezielle Tools zu extrahieren:
- Eine drahtlose Passphrase kann mit WPS unter Windows Vista und neueren Windows-Versionen unter Administratorrechten extrahiert werden, indem Sie eine Verbindung zu dieser Methode herstellen, dann die Eigenschaften für dieses drahtlose Netzwerk aufrufen und auf „Zeichen anzeigen“klicken.,
- Ein einfacher Exploit im Dienstprogramm Intel PROSet Wireless Client kann die drahtlose Passphrase bei Verwendung von WPS nach einem einfachen Verschieben des Dialogfelds anzeigen, in dem Sie gefragt werden, ob Sie diesen Zugriffspunkt neu konfigurieren möchten.
-
Ein generisches Service Bulletin zur physischen Sicherheit von Wireless Access Points.
-
Ein WLAN-Router zeigt gedruckte voreingestellte Sicherheitsinformationen einschließlich der Wi-Fi-geschützten Setup-PIN an.