caxapa.ru :: Как я понял, никто ничего не сломал. Всего лишь нашли способ заставить сетку юзать одни и те же сессионные ключи шифрации, встревая в процедуру договора об этих ключах сессии. Типа теперь ваша задача сильно упростится

ASDFS, USB-гуру (16.10.2017 13:54, просмотров: 303) ответил Царская Морда на сломали WPA2

Как я понял, никто ничего не сломал. Всего лишь нашли способ заставить сетку юзать одни и те же сессионные ключи шифрации, встревая в процедуру договора об этих ключах сессии. Типа теперь ваша задача сильно упростится - достаточно один раз сломать аес 128 и трафик сетки у вас в кармане. Мелочь, ага.

Ответить

- against Android 6.0 our attack triggered the installation of an all-zero key, completely voiding any security guarantees... - Царская Морда(16.10.2017 14:04)
  - Ага, не дочитал. То есть они нашли две траблы: мелкую незначимую проблему установления ключей сессии вайфая и багу в релизе вайфая на некоторых андроидах. И их сумма позволила получить известный ключ сессии. Так, конечно, неприятнее. - ASDFS(16.10.2017 14:31)
    - вкусняшка в другом. свой дивайс можно пропатчить, но при коннекте с чужим-непатчёным вновь произойдёт конфузия. и это касается не только ведроида. - Царская Морда(16.10.2017 14:52 - 14:55)
      - Надеюсь, у гугеля эффективная система распространения апдейтов. С другой стороны, кому и нахрена может понадобиться трафик 99,999% планшетов - еще большой вопрос. Особенно в свете засилья хттпс и прочих частных VPN. - ASDFS(16.10.2017 14:59)
        
        у гугля никакая система распространения апдейтов ос. Типа должны суетиться производители девайсов. А им пох: обновления либо не выпускаю вовсе либо прекращают поддержку через ~год после анонса модели (это примерно когда девайс насытит розницу и на 3m(250 знак., 16.10.2017 22:29)
- Чукча не читатель: "attackers can use this novel attack technique to read information that was previously assumed to be safely encrypted". - SciFi(16.10.2017 13:57)
  - Тогда расскажи свою версию их технологии. На мой взгляд чуваки просто пиарятся громкими фразами. Потому как из текста никак не следует что они получают ключи шифрации в явном виде. - ASDFS(16.10.2017 14:01)
    - Они их и не получали. Но они получили возможность втыкать свои пакеты в зашифрованный трафик. - LightElf(16.10.2017 14:38)
      - Для всех - не свои, а повторы уже пробегавших чужих пакетов. И то только если низкая плотность трафика позволит в нужные места вставлять сброс счетчиков пакетов. Свои - только для андроида с известным ключом сессии. - ASDFS(16.10.2017 14:43)
        
        это только жалкое начало! :-) - LightElf(16.10.2017 14:46)
        
        Это жалкий конец. Гугель уже, небось, апдейт рассылает. Остальное там практического значения не имеет. - ASDFS(16.10.2017 14:49)
        
        И что, твой сотик, купленный более полугода назад, кто-то обязан обновлять? Ха ха ха. И даже вчера купленный никто не обязан обновлять. Это добрая воля поставщика. - Evgeny_CD(16.10.2017 14:56)
        
        Я бы сказал иначе - что, кто то из юзеров массово парится запретом автоматического обновления? Здесь не добрая воля поставщика нужна, а хитрожопая продуманность пользователя. - ASDFS(16.10.2017 15:01)
        
        Ты в свой телефон давно заглядывал? Когда он последний раз просил обновить прошивку? Правильно, сразу после покупки. И даже когда Повелитель Времени Недимон двигал часовые пояса, никто ничего не обновлял. - SciFi(16.10.2017 15:04)
        
        Боюсь, гуглу все же пох на мелких царьков с их закидонами. А вот столь большая дырка это не хухры мухры, правильные пацаны и предъяву кинуть могут и подставу организовать. ASDFS(144 знак., 16.10.2017 15:09)
        
        Пишут, что патч устранит проблему. Но вскрывшаяся кривизна рук яйцеголовых горе-изобретателей настораживает. - SciFi(16.10.2017 14:56)
        
        Только сейчас?! Проверь версию чувства самосохранения, кажется оно у тебя не сконфигурировано. - ASDFS(16.10.2017 15:03)

Мобильная и беспроводная связь