Belçikalı güvenlik araştırmacısı Mathy Vanhoef, Wi-Fi standardının 1997 yılına kadar uzanan aygıtları kapsayan birkaç güvenlik açığı olduğunu açıkladı. Bu durum, son 24 yılda satılan neredeyse tüm Wi-Fi özellikli aygıtların etkilendiği manasına geliyor. Vanhoef daha evvel, bir saldırganın fizikî menzil içinde olduğu sürece saniyeler içinde bir Wi-Fi ağını ele geçirmesine müsaade veren Anahtar Tekrar Yükleme Atakçı (KRACK) isimli farklı bir Wi-Fi açığı da keşfetmişti.
Yeni kusurlara toplu olarak “parçalama ve toplama saldırıları”nın kısaltması olan “FragAttacks” ismi veriliyor. Vanhoef, güvenlik açıklarından üçünün Wi-Fi standardındaki tasarım kusurları olduğunu, başkalarının ise çoğunlukla çeşitli Wi-Fi eserlerindeki berbat firmware programlanmasının bir sonucu olduğunu söz ediyor. Wi-Fi tasarım kusurlarından üçünün yaygın olmayan ağ ayarları gerektirdiğinden ve hücumların ayarlanması daha güç olduğundan, başarılı olmak için ekseriyetle kullanıcı etkileşimini gerektirdiği, bu manada yararlanılmasının güç olduğu söz ediliyor. Bununla birlikte uygulama kusurları, birden fazla çok sık güncellenmeyen ve bazen büsbütün terk edilen akıllı konut aletleri ve öbür IoT aygıtlar üzere aygıtları kullanmak ve etkilemek için kıymetsiz olarak tanımlanmakta.
Tasarım kusurlarından biri çerçeve toplama fonksiyonunda mevcut. Bu, aktif bir biçimde rastgele çerçeveler eklemelerine ve aygıtınızın makus niyetli bir DNS sunucusu kullanmasına imkan tanıyabiliyor. Böylelikle saldırganın hassas bilgilerinizi çalması kolaylaşıyor. Test edilen dört konut yönlendiricisinden ikisinin bu akına karşı savunmasız olduğu da bilgiler ortasında.
Başka güvenlik açıkları, birtakım aygıtların “el sıkışma iletilerine benzeyen düz metin toplanmış çerçeveleri” kabul etmesine yahut şifrelenmemiş yayın modüllerini kabul etmesine müsaade veren makus uygulamalardan kaynaklanıyor. Kimi tanınan akıllı telefonlar ve birkaç IoT aygıt da dahil olmak üzere birçok aygıt maalesef bundan etkileniyor.
Vanhoef, çeşitli işletim sistemi kombinasyonları ile toplamda 75 aygıtı test etmiş ve hepsinin makalesinde detayları verilen akınlardan bir yahut daha fazlasına karşı savunmasız olduğunu görmüş. Güvenlik araştırmacısı ayrıyeten, “Wi-Fi güvenliği geçmiş yıllarda kıymetli ölçüde güzelleştiği için bu güvenlik açıklarının keşfi bir sürpriz oldu” diyor.
Araştırmacı bulduğu 12 kusuru aygıt üreticileriyle yakın bir halde çalışan Wi-Fi Alliance ile paylaştı. Bunun da Cisco, Juniper, HPE, Intel, Netgear, Samsung, Zyxel, Lenovo, Synology ve Eero üzere markaları epeyce uğraştıracağı belirtiliyor. Aygıtınızın bu meselelerden rastgele biri için güncellenip güncellenmediğini denetim etmek içinse İnternette Güvenliği Geliştirme Sanayi Konsorsiyumu (ICASI) web sitesine bakabilirsiniz.
Bu güvenlik açıklarından rastgele birinin istismar edildiğine dair şu an için bir delil olmaması da yüreklere su serpiyor. Tekrar de inançta kalmak için Vanhoef’un blogunda paylaştığı kimi tavsiyeleri uygulamak yerinde bir karar olabilir. Sırf şimdiki bir web tarayıcısı ve HTTPS Everywhere üzere bir uzantı kullanıyorsanız kolay olan HTTPS kullanan siteleri ziyaret ettiğinizden emin olmak. Yazılımınızı yeni tutmak, güçlü parolalar kullanmak ve kıymetli evrakları sık sık yedeklemek bunların başında geliyor.
