У ПЗ Wi-Fi з відкритим вихідним кодом виявили відразу дві помилки.
Дослідники з кібербезпеки повідомляють, що у програмному забезпеченні Wi-Fi з відкритим входом на пристроях Android, Linux і ChromeOS вони виявили відразу дві помилки обходу автентифікації. Ці вразливості можуть обманом змусити користувача приєднатися до зловмисного клону легальної мережі, або дозволити зловмиснику приєднатися до надійної мережі без пароля.
Вразливості, відстежувані як CVE-2023-52160 і CVE-2023-52161, виявили фахівці компанії Top10VPN. CVE-2023-52160 є серйознішим недоліком, бо знайшли його у ПЗ, яке за замовчуванням використовується на пристроях Android для обробки запитів входу в бездротові мережі. Однак це впливає лише на тих клієнтів Wi-Fi, чиї налаштування для перевірки сертифіката сервера автентифікації є неправильними, а ще потрібно, щоб атакувальник перебував у безпосередній, фізичній близькості до жертви.
Вразливість же CVE-2023-52161 впливає на будь-яку мережу, яка використовує пристрій Linux як бездротову точку доступу (WAP) – і дозволяє зловмиснику отримувати неавторизований доступ до захищеної мережі Wi-Fi; в результаті він може заражати пристрій користувача зловмисним ПЗ, викрадати особисті дані і компрометувати електронну пошту. Основні дистрибутиви Linux вже випустили рекомендації з усунення цих двох недоліків. Одну з проблем також розв’язали в ОС Chrome, версії від 118-ї включно. Виправлення для Android ще не доступні, тому з міркувань безпеки важливо, щоб користувачі Android вручну налаштували кореневий сертифікат будь-яких збережених корпоративних мереж.
