Uma nova falha assombrou o mundo na manhã desta segunda-feira, 16, quando o professor da Katholieke Universiteit Leuven da Bélgica Mathy Vanhoef publicou um estudo que revela uma falha nos protocolos de segurança WPA e WPA2 em redes Wi-Fi. Chamada de “KRACK”, essa brecha pode afetar qualquer dispositivo moderno com modem de rede Wi-Fi, seja ele iOS, Windows, Android, Linux ou MacOS.
Nos testes feitos por Vanhoef foi possível controlar o tráfego de rede, ao ler a comunicação entre dispositivos e pontos de acesso, além de indicar usuários para acessarem sites na Internet (HTTPS) que seriam danosos e poderiam coletar os dados dos usuários.
Porém, o caso mais grave foi nos dispositivos com sistema operacional Android. No documento, o professor explica que contra o Android Lollipop (6.0), o ataque simulado desencadeou a instalação de uma chave nova (all-zero key), anulando completamente qualquer garantia de segurança. Vanhoef ressaltou que 41% dos devices Android estariam vulneráveis ao KRACK.
Resoluções
Logo após a divulgação do documento, a US Computer Emergency Readiness Team (CERT), órgão que combate falhas em softwares nos Estados Unidos, enviou um alerta aos fabricantes sobre o tema encorajando-os a prepararem e lançarem as atualizações de segurança o quanto antes.
A Wi-Fi Alliance, conjunto de empresas responsáveis pelas regras de Wi-Fi, ressaltou que o problema do KRACK pode ser resolvido com atualizações de segurança, e a maioria de seus associados já começou a trabalhar nos patches de segurança. Frisam que, embora a falha tenha sido descoberta pelo professor belga, não há indícios ou casos relatados de exploração da brecha por criminosos.
Atualizações no forno
Aos veículos internacionais, as grandes companhias já começaram a explicar os próximos passos para fechar a abertura. O Google está trabalhando e deve lançar uma atualização nas próximas semanas, sendo que o terminais da família Pixel serão os primeiros a receber o update no dia 6 de novembro. Os dispositivos da Apple devem ganhar a proteção nas próximas semanas, mas ainda não há data confirmada. E a Microsoft informa que lançou hoje mesmo a atualização de segurança.