La vulnerabilità di WiFi KRACK è stata patchata per iOS?

41

C'è una nuova vulnerabilità in WPA2 chiamata KRACK (abbreviazione di Key Reinstallation Attack), come descritto nell'articolo di The Guardian:  ' Tutte le reti WiFi' sono vulnerabili all'hacking, esperto di sicurezza scopre '

Secondo l'articolo:

The vulnerability affects a number of operating systems and devices, the report said, including Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys and others.

Sono state rilevate versioni di sicurezza per iOS che lo hanno risolto?

    
posta dwightk 16.10.2017 - 14:02
fonte

3 risposte

32

Aggiornamenti rilasciati il 31 ottobre 2017

Apple ha rilasciato aggiornamenti che includono una correzione per la vulnerabilità di KRACK per macOS, iOS, tvOS e watchOS. Per ottenere gli aggiornamenti:

È politica di Apple non commentare le vulnerabilità della sicurezza finché non vengono riparate e, anche quando lo fanno, sono spesso piuttosto vaghe al riguardo.

About Apple security updates

For our customers' protection, Apple doesn't disclose, discuss, or confirm security issues until an investigation has occurred and patches or releases are available. Recent releases are listed on the Apple security updates page.

Tuttavia, con un po 'di lavoro investigativo, possiamo ottenere alcune informazioni. Osservando i CVE assegnati a questa particolare vulnerabilità , * possiamo ottenere l'elenco dei problemi che dovrebbe essere indirizzato da Apple quando decidono di emettere una patch di sicurezza:

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Inoltre, questo articolo ZDNet - Ecco tutte le patch per la vulnerabilità Wi-Fi KRACK disponibile al momento (16 ottobre 2017) indica che i fornitori stanno rispondendo rapidamente e Apple ha confermato che le patch sono in versione beta.

Apple confirmed it has a fix in beta for iOS, MacOS, WatchOS and TVOS, and will be rolling it out in a software update in a few weeks.

* Common Vulnerabilities and Exposures (CVE®) è un elenco di identificatori comuni per la sicurezza informatica di dominio pubblico vulnerabilità. L'uso di "identificatori CVE (ID CVE)", che sono assegnati dalle autorità di numerazione CVE di tutto il mondo, garantisce la fiducia tra le parti quando viene utilizzato per discutere o condividere informazioni su una vulnerabilità software unica, fornisce una base per la valutazione degli strumenti, e consente lo scambio di dati per l'automazione della sicurezza informatica.
risposta data 16.10.2017 - 15:23
fonte
11

Rene Ritchie, redattore capo di iMore, segnala che questa vulnerabilità è corretta in tutte le attuali beta macOS, watchOS, tvOS e iOS .

Fino a quando gli aggiornamenti non vengono spediti, molti blog sulla sicurezza consigliano di utilizzare VPN e siti protetti con SSL per salvaguardare qualsiasi informazione trasmessa via Wi-Fi.

Mentre SSL non garantisce la sicurezza dei dati da un attacco KRACK, lo rende molto più difficile. Tuttavia, KRACK ottiene l'accesso abbastanza in profondità da poter accedere ai dati prima della crittografia.

    
risposta data 16.10.2017 - 21:12
fonte
-2

Considerando che la vulnerabilità è stata appena pubblicata (al momento di questa domanda è stata posta) e dubito che sia stata prima inviata a tutti i produttori (poiché sarebbe molto difficile considerando il numero di parti per informarlo) - ci vorrà un po 'di tempo per Apple riunire il nuovo aggiornamento per tutti i dispositivi esistenti e rilasciarlo.

Come sempre, Apple non applica patch urgente di iOS / Mac OS solo per una singola vulnerabilità, raggruppa alcune correzioni / modifiche insieme in un aggiornamento.

Anche fare una correzione, testare, verificare, rilasciare, richiede tempo. Quindi non sarà risolto immediatamente.

    
risposta data 17.10.2017 - 05:02
fonte

Leggi altre domande sui tag