Così come successo a suo tempo con WPA2, allo stesso modo succede ora con WPA3: il nuovo standard di sicurezza, lanciato soltanto poco più di un anno fa, si trova a fare i conti con una serie di vulnerabilità tali da metterne potenzialmente in discussione l’integrità. WPA3 avrebbe dovuto essere la granitica risposta alle fragilità emerse nello standard della generazione precedente, ma la scoperta di queste ore solleva più di un dubbio sulla solidità del tutto. A stretto giro di posta giunge tuttavia la presa d’atto della Wi-Fi Alliance, la quale ha voluto calmierare gli allarmi depotenziando il pericolo effettivo in corso per gli utenti: patch disponibili, problema circoscritto. La strada del WPA3 ricomincia da qui.
A capo della scoperta v’è una firma nota per la Wi-Fi Alliance: si tratta di Mathy Vanhoef, già protagonista della scoperta delle vulnerabilità in WPA2 nell’autunno del 2017.
Dragonblood
Le vulnerabilità segnalate sono state denominate nel loro insieme “Dragonblood“: in parte avrebbero consentito di affossare un access point, in parte potrebbero consentire il furto di password agendo da remoto. Possibile, inoltre, un “downgrade attack”, ossia un meccanismo in grado di costringere il sistema ad utilizzare una certificazione vetusta delle password, meno sicura e più vulnerabile.
Dalla Wi-Fi Alliance giungono tuttavia rassicurazioni convincenti. Anzitutto i problemi vengono lasciati sottotraccia, ricordando come WPA3-Personal sia ancora nelle sue prime fasi di sviluppo e deve quindi necessariamente scontare qualche vizio di gioventù. I problemi sarebbero inoltre relativi ad un piccolo numero di device e di reti, quindi impattanti su un piccolissimo numero di utenti e senza alcun pericolo reale ed imminente. In ogni caso le patch relative alle vulnerabilità emerse sono immediatamente disponibili all’interno del Security Update del mese di aprile, diramato dalla Wi-Fi Alliance ed a disposizione dei produttori coinvolti.
La Wi-Fi Alliance ha inoltre pubblicamente ringraziato Mathy Vanhoef della New York University Abu Dhabi, Eyal Ronen della Tel Aviv University e KU Leuven tanto per la scoperta, quanto per aver segnalato i problemi con modalità tali da consentire una rapida soluzione senza mettere in pericolo l’utenza. Va ricordato come WPA3 sia destinato a diventare il nuovo standard di sicurezza sulle reti Wi-Fi di nuova generazione, sicuro punto fermo delle prossime connessioni di tipo Wi-Fi 6.
Ti potrebbe interessare
12 apr 2019