Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → pixie dust

Миллионы Wi-Fi-устройств по-прежнему подвержены уязвимости Pixie Dust, обнаруженной более десяти лет назад

Компания NetRise, специализирующаяся на защите прошивок и программных компонентов устройств Интернета вещей, сообщила, что многие сетевые устройства по-прежнему уязвимы для метода атаки через Wi-Fi, раскрытого более десяти лет назад. Об этом пишет SecurityWeek.

 Источник изображения: SecurityWeek

Источник изображения: SecurityWeek

Атака, получившая название Pixie Dust, была обнаружена в 2014 году, когда было продемонстрировано, что уязвимость, связанная с протоколом Wi-Fi Protected Setup (WPS), может быть использована для получения PIN-кода WPS маршрутизатора и подключения к целевой беспроводной сети без ввода пароля.

Атака Pixie Dust предполагает, что злоумышленник, находящийся в зоне действия целевой сети Wi-Fi, перехватывает начальное WPS-рукопожатие, содержащее данные между клиентом и точкой доступа для аутентификации, которые затем можно взломать в офлайн-режиме для получения PIN-кода WPS. Атака полагается на тот факт, что на некоторых устройствах случайные числа (передающиеся между клиентом и точкой доступа) генерируются с использованием предсказуемых или низкоэнтропийных методов. Злоумышленнику требуется всего несколько секунд, чтобы перехватить WPS-рукопожатие, а затем в течение нескольких минут или даже секунд — получить PIN-код в офлайн-режиме.

Компания NetRise провела анализ 24 моделей сетевых устройств, использующихся в настоящее время, на предмет их уязвимости к атакам Pixie Dust. Устройства были приобретены у шести производителей, но половина из них была произведена компанией TP-Link. Анализ NetRise показал, что из 24 маршрутизаторов, точек доступа, усилителей сигнала и гибридных систем Powerline/Wi-Fi только четыре были защищены от атак Pixie Dust, но во многих случаях исправления появились спустя 9-10 лет. Среди неисправленных продуктов семь уже сняты с производства, но 13 всё ещё поддерживаются. В ходе тестов специалисты NetRise смогли восстановить PIN-код WPS затронутых уязвимостью устройств за 1-2 секунды. Если говорить в масштабе, то речь может идти о миллионах затронутых уязвимостью Pixie Dust устройств.

«Существование уязвимых реализаций WPS отражает системный недостаток в цепочках поставок прошивок. Поставщики повторно используют небезопасные библиотеки, не обеспечивают соблюдение безопасных настроек по умолчанию и обеспечивают низкую прозрачность. Это создаёт для производителей риски репутационного ущерба, потенциального вмешательства со стороны регулирующих органов и юридической ответственности. Устройства, подверженные уязвимости, могут казаться безопасными из-за настроек пользовательского интерфейса, которые внешне скрывают или отключают WPS, но остаются уязвимыми на уровне прошивки. Это создает скрытые пути для эксплойтов в средах с высоким уровнем доверия, таких как филиалы компаний, розничная торговля и здравоохранение. Предприятия не могут надежно обнаружить эту уязвимость самостоятельно, а потому остаются в зависимости от раскрытия информации поставщиками, которые часто этого не делают», — отметила NetRise.

Исследование NetRise было проведено после недавнего предупреждения Агентством по кибербезопасности и защите инфраструктуры США (CISA) о том, что старая уязвимость, связанная с отсутствием аутентификации, затрагивающая усилители сигнала Wi-Fi-диапазона TP-Link, эксплуатируется в реальных условиях.


window-new
Soft
Hard
Тренды 🔥
Microsoft создала подразделение Frontier Company для предоставления услуг по внедрению ИИ 9 мин.
Встраиваемые системы становятся главным фронтом ИТ-суверенитета России 19 мин.
Meta без лишнего шума выпустила мобильное приложение Pocket для вайб-кодинга игр на ходу 56 мин.
Улучшения производительности, меньше вылетов и никаких телепортирующихся NPC: для ремейка «Готики» вышло обновление 1.0.3 2 ч.
Meta вложила миллиарды в ИИ, но Цукерберг признал: агенты не спешат умнеть 2 ч.
Сливший iOS 26 до анонса блогер свалил вину на своего сообщника 2 ч.
«Время — это конструкт»: научно-фантастический триллер Ontos от создателей Amnesia и Soma перенесли на 2027 год 3 ч.
Citrix анонсировала XenServer 9 — альтернативу решениям VMware 3 ч.
Американские правозащитники объявили соцсеть X серьёзной угрозой для конфиденциальности американцев 3 ч.
Relic анонсировала «захватывающую» роглайт-стратегию Company of Heroes 3: Final Stand — трейлер, дата выхода и подробности геймплея 4 ч.
Самым популярным смартфоном в российской рознице в этом году стал iPhone 17 2 ч.
США разрешат сверхзвуковым авиалайнерам летать над городами, но при одном условии 2 ч.
Учёные вдохновились пустельгой и разработают дрон, противостоящий порывам ветра 3 ч.
2 июля начали принимать работы для участия в фотоконкурсе «Снято на Camon» компании Tecno 3 ч.
Квартальные продажи Ethernet-коммутаторов взлетели на 40 %, а NVIDIA выбилась в лидеры в ЦОД-сегменте 4 ч.
Илон Маск признался, что объёмы выпуска роботов Tesla Optimus на первых порах будут скромными 5 ч.
Kioxia начала поставлять образцы передовой 332-слойной памяти 3D NAND десятого поколения 6 ч.
Новая статья: Снято в Голливуде? Почему Стэнли Кубрик физически не смог бы подделать лунную походку 11 ч.
В Сингапуре обвинили четыре фирмы в контрабанде подсанкционных чипов NVIDIA в Китай 12 ч.
Новая статья: Обзор Midea VCR V15 EVO ULTRA: я просто хорошо убираю любое помещение 13 ч.