Fix per l’hack Wi-Fi WPA2: Microsoft già pronta, Google al lavoro per Android, Apple non si pronuncia

Cosimo Alfredo Pina

A poche ore dall’esplosione della notizia sul fatto che il protocollo di protezione delle reti Wi-Fi, il cosiddetto WPA/WPA2, non è sicuro come si pensava, arrivano le prime buone notizie dai big dell’high tech: fix in arrivo per KRACK da parte di alcune delle principali aziende.

Infatti nessun sistema è al sicuro visto che la falla, sfruttabile con un exploit chiamato appunto KRACK, è insita nel protocollo e quindi praticamente ogni sistema (macOS, Windows, iOS, Android, basati su Linux) è potenzialmente a rischio. Tuttavia Microsoft dice che per tutte le versioni di Windows per cui il supporto è ancora è attivo è già in arrivo un fix come aggiornamento di sicurezza.

Se ci leggete da un sistema Windows correte ad attivare gli aggiornamenti automatici o assicuratevi di controllare manualmente nelle prossime ore/giorni. Anche Google ha risposto alla questione indicando che con le patch di sicurezza Android del prossimo mese (novembre 2017) dovrebbero sistemare i problemi con il protocollo fallato.

LEGGI ANCHE: KRACK, la falla che mette a rischio la sicurezza delle reti wireless

In linea di principio la cosa confortante ma purtroppo tantissimi smartphone e tablet resteranno tagliati fuori (quelli più datati o per cui il supporto non è più garantito), il che è piuttosto grave considerando che le versioni di Android precedenti alla 6.0 sarebbero suscettibili di attacchi man in the middle capaci di scaricare malware sul terminale. Apple, interpellata dai colleghi di The Verge, non ha ancora chiarito se le ultime versioni di macOS o iOS siano già state patchate.

Considerate comunque che i ricercatori che hanno scoperto la falla hanno iniziato ad avvertire i produttori già dal luglio scorso e non è da escludere che qualche azienda non abbia già preso provvedimenti.  Tra questi figurerebbero già aziende e progetti come Arch Linux, Aruba, Debian/Ubuntu, Mikrotik, Netgear (modelli WAC120, WAC505/WAC510, WAC720/730, WN604, WNAP210v2, WNAP320, WNDAP350, WNDAP620, WNDAP660, WND930) o Ubiquiti.

La lista si allungherà certamente nei prossimi giorni; potete seguire l’evolversi della cosa sul sito dell’US-CERT, l’organismo statunitense dedicato alle emergenze informatiche, che ha realizzato una pagina dedicata a KRACK. Ora più che mai assicuratevi che i vostri dispositivi (soprattutto i router) siano aggiornati all’ultimo firmware.

Via: The Verge, Android Central
  • Mauro

    A me è già arrivato l’aggiornamento di Windows Defender

    • snke

      Non credo basti solo quello, credo faranno un aggiornamento cumulativo

  • carlo

    Anche Google ha risposto alla questione indicando che con le patch di sicurezza Android del prossimo mese (novembre 2017) dovrebbero sistemare i problemi con il protocollo fallato.
    poi che il fix finisca sui telefoni è tutta un’altra storia 😞

    • Beh, sugli smartphone Google dal Nexus 6 (il 5 fu supportato fino a dicembre del 3° anno, quindi probabile anche il 6) fino al Pixel 2 arriverà a tutti il primo lunedì di novembre. Quindi il problema non è Google….

      • carlo

        a no? e chi lo ha messo su il carrozzone impossibile da mantenere e aggiornare in sicurezza lasciando agli OEM troppa discrezionalità per il solo fatto che a loro interessava e interessa solo monetizzare le abitudini degli utenti attraverso i play services?
        google ha avuto una grande fortuna, i fanboy che le perdonano tutto.
        gli utenti android hanno avuto una grande sfortuna, i fanboy che dovrebbero essere la voce critica della piattaforma le perdonano tutto.

        • Troppo facile parlare col senno di poi… Siamo nel 2008, c’è un sistema operativo open source distribuito da x con una diffusione percentuale ad una cifra. Tu produttore y, tra la versione compatibile con l’ecosistema di x e strapiena di vincoli e la versione senza i servizi di x cosa avresti scelto? Secondo me senza ombra di dubbio avresti messo su il tuo ecosistema. Ognuno avrebbe fatto così e alla fine gli sviluppatori si sarebbero focalizzati sull’ecosistema più diffuso. Insomma, l’anarchia ci sarebbe stata comunque visto che Google non era nella posizione di imporre vincoli. Ora tanti vincoli non li può imporre più, ma sta facendo di tutto per convincere i produttori ad aggiornare celermente, anche sfidarli nel loro stesso campo. Gli unici che possono convincere i produttori sono i consumatori. Se tutti scegliessero consapevolmente un device aggiornato tempestivamente e con un supporto a lungo termine, vedi come lo trovano il modo di mantenere i loro device i vari OEM.
          Impossibile da mantenere e aggiornare…chissà allora come fanno le varie community a supportare centinaia di device con le loro ROM.
          Hai il potere di scegliere, ci sono in commercio device con aggiornamenti celeri, adesso anche a basso prezzo…Se ti piace Samsung o simili…tieniti anche quello che ti offrono.

          • carlo

            quelli come te sono la fortuna di google

          • Quelli che parlano per partito preso invece lo sono dell’Italia 😉 Eppure basterebbe semplicemente argomentare…ma va beh

    • boosook

      sul mio nexus ci finisce… chi ha fatto scelte diverse, ne subirà le conseguenze… 🙂

      • carlo

        questa è la prova del 9 della serietà di google, ogni versione di nexus dalla prima in poi dovrebbe essere aggiornata.

        • boosook

          Sì, certo…

        • Peccato che il supporto passi di mano anche al produttore effettivo del Nexus che se non fornisce driver aggiornati, poco si può fare. E neanche il produttore, così come i vari fornitori possono fare più di tanto per fornire driver aggiornati, poiché dovrebbero trovare il modo di aggiornare un kernel non più supportato. Inoltre chiedi di supportare device con una diffusione dello 0,x%. Tu lo faresti? Un po’ troppo poco per fare un lavoro del genere che richiede investimenti e tempo.
          La buona notizia è che il supporto ai kernel LTS è stato allungato e la piattaforma ora ha un ulteriore livello di astrazione (Treble). Ma…..starà ai produttori adeguarsi, i consumatori dovrebbero rivalersi su di loro o fare scelte diverse.
          Fanboy è colui che parla senza cognizione di causa e per partito preso…

  • Tzr

    scusate mi confermate questa cosa:

    ipotizziamo che il modem/router venga aggiornato questo fix sarà inutile se anche tutti i dispositivi collegati ad esso non saranno aggiornati.

    giusto?

    • Max

      No, su questo il documento parla chiaro! L’attacco ha effetto se l’handshake avviene tra due dispositivi entrambi non fixati…
      In pratica se vai a correggere il router sei a posto…
      In caso contrario, invece, è impossibile che tutti i tuoi dispositivi riceveranno aggiornamento (pensa ad esempio alle stampanti wifi, e tutti i dispositivi wifi che abbiamo e neanche ce ne ricordiamo)

      • Tzr

        Ottimo, grazie mille!!! 🙂
        Molto meglio così!!!
        Infatti, sperare un fix per tutti i dispositivi sarebbe stata follia come giustamente hai scritto!!!

        • boosook

          Il punto è… se il tuo telefono o pc portatile non viene aggiornato, ti scordi le wifi pubbliche o quelle dei locali, ristoranti, aeroporti eccetera… una bella seccatura…

          • Tzr

            purtroppo, quelle sono insicure per definizione!!! 🙁
            io è da molto tempo che limito al massimo il loro utilizzo…

  • Erminio Ottone

    Questo significa che per i router senza patch (ovvero il 90% di quelli sui quali il provider o il costruttore non fa aggiornamenti automatici da remoto) sarà possibile scoprire la password ed usare internet a sbaffo, come si faceva ai tempi del WEP, o più di recente con le password predefinite calcolate?

    • Max

      si! E’ proprio così!

      • E pensa un po’… usare internet a sbafo sarà l’ultimo dei problemi!

  • Ubuntu ha appena aggiornato il wpa_supplicant

  • boosook

    Avete scordato di aggiungere: “Linux, già aggiornato”.