Daniel Hruska Jeśli używasz domyślnego hasła zabezpieczającego do łączenia się z utworzonym przez siebie osobistym hotspotem, rozważ jego zmianę. Niemieccy badacze z Uniwersytetu w Erlagen twierdzą, że są w stanie złamać go w mniej niż minutę.
V dokument z imieniem Użyteczność vs. bezpieczeństwo: odwieczny kompromis w kontekście mobilnych hotspotów Apple iOS badacze z Enlargen demonstrują generowanie słabych domyślnych haseł do osobistego hotspotu. Udowodnili swoje twierdzenia o podatności na atak brute-force przy nawiązywaniu połączenia z WPA2.
W artykule stwierdzono, że iOS generuje hasła na podstawie listy słów zawierającej około 52 200 wpisów, jednak według doniesień iOS wykorzystuje tylko 1842 z nich. Dodatkowo cały proces wyboru słów z listy jest niewystarczająco losowy, co prowadzi do ich nierównomiernego rozkładu w wygenerowanym haśle. I to właśnie ta zła dystrybucja umożliwia łamanie haseł.
Wykorzystując klaster czterech kart graficznych AMD Radeon HD 7970, badaczom z Uniwersytetu w Erlagen udało się złamać hasła z alarmującą 100% skutecznością. W trakcie całego eksperymentu udało im się skrócić czas przebicia poniżej jednej minuty, do dokładnie 50 sekund.
Oprócz nieuprawnionego korzystania z Internetu z podłączonego urządzenia, można także uzyskać dostęp do usług uruchomionych na tym urządzeniu. Przykładami mogą być AirDrive HD i inne aplikacje do bezprzewodowego udostępniania treści. I nie chodzi tylko o urządzenie, na którym tworzony jest osobisty hotspot, może to mieć również wpływ na inne podłączone urządzenia.
Najpoważniejszą rzeczą w tej sytuacji jest prawdopodobnie fakt, że cały proces łamania hasła może być w pełni zautomatyzowany. Na dowód stworzono aplikację Krakers Hotspotów. Moc obliczeniową potrzebną do metody brute-force można łatwo pozyskać poprzez chmurę z innych urządzeń.
Cały problem wynika z faktu, że producenci mają tendencję do tworzenia haseł możliwie najbardziej zapadających w pamięć. Jedynym wyjściem jest wówczas wygenerowanie całkowicie losowych haseł, gdyż nie trzeba ich pamiętać. Po sparowaniu urządzenia nie ma potrzeby wprowadzania go ponownie.
W artykule wskazano jednak, że w podobny sposób można złamać hasło na Androidzie i Windows Phone 8. W przypadku tego drugiego sytuacja jest jeszcze łatwiejsza, ponieważ hasło składa się tylko z ośmiu cyfr, co daje atakującemu spację z 108.
No to fajnie, teraz pytanie, kiedy ktoś korzysta z hotspotu.... Czy ma odpowiednią wiedzę, więc dla własnej wygody automatycznie zmienia hasło, prawda?