Som om behovet av totalsträckskryptering inte redan var stort nog har säkerhetsforskare hittat en brist i flera version av wifi-standarden som gör okrypterade anslutningar som http ännu mer osäkra, rapporterar Bleeping Computer.
Säkerhetsbristen har bekräftats i basstationer och routrar från bland annat Cisco, Asus och D-Link. Cisco har bekräftat upptäckten men skriver att attacken utgör en minimal risk på säkert inställda nätverk, och rekommenderar alla kunder att använda tls (https) när det är möjligt.
Säkerhetsbristen ligger i strömsparande funktioner i protokollet, som innebär att en enhet på ett wifi-nätverk kan gå i vila och tala om för basstationen att den gör det. Basstationen ska då köa upp alla datapaket som ska skickas till enheten i väntan på att den vaknar igen. Tanken är smart: Genom att bara vara vaken i bråkdel av tiden och hantera alla paket under den perioden kan enheter spara mycket ström, men eftersom det ändå handlar om millisekunder märket användaren ingenting.
Problemet är att protokollet inte har några säkerhetskontroller kring dessa köade datapaket, och forskarna har hittat sätt att lura en basstation både att skicka trafik ämnad för en enhet till sig och att injicera data i existerande trafikflöden.
Resultatet är att det blir möjligt att till exempel injicera skadlig javascriptkod när en användare hämtar en webbsida via okrypterad http-anslutning. Krypterade anslutningar påverkas inte.
Av: Anders Lundberg, Skribent
Jag skriver alla typer av av artiklar för M3, MacWorld och PC för Alla. Vad vill du läsa om? Tipsa mig!