«Внедрит вредоносный код». В Wi-Fi нашли серьезную уязвимость
. Она может позволить злоумышленникам перехватывать весь трафикЗлоумышленники могут внедрить вредоносный код из-за уязвимости Wi-Fi
Специалисты по кибербезопасности обнаружили опасную уязвимость в базовом стандарте Wi-Fi — IEEE 802.11, сообщал ранее портал Bleepingcomputer. Авторы исследования утверждали, что она позволяет хакерам перехватывать весь трафик. Инженер департамента информационной безопасности ИМБА ИТ Андрей Ефимов объяснил РБК Life, что злоумышленник может внедрить вредоносный код JavaScript.
«Атака заключается в том, что злоумышленник может внедрить вредоносный код JavaScript жертве в незашифрованных HTTP-соединениях с целью использования уязвимостей в браузере жертвы», — объяснил эксперт.
Доклад гласил, что передаваемые данные обычно шифруются с помощью группового ключа шифрования, общего для всех устройств в сети Wi-Fi. Однако злоумышленник может заставить ее передавать кадры в виде простого текста или шифровать их ключом, предоставленным самим атакующим. По словам авторов работы, дыра в уязвимости есть в самом протоколе Wi-Fi на всех устройствах под управлением Linux, FreeBSD, iOS и Android.
«Описанная нами атака имеет масштабное влияние, так как затрагивает различные устройства и операционные системы (Linux, FreeBSD, iOS и Android), а также может быть использована для перехвата TCP-соединений, клиентского и сетевого трафика», — написали исследователи.
Однако Ефимов отметил, что исследовательская работа носит академический характер, поэтому «может немного пренебрегать тем, как все работает в реальной жизни. Атака применима в том случае, если основной сеанс не зашифрован (т.е. HTTP вместо HTTPS), и влияние этого гораздо менее серьезно, чем кажется на первый взгляд, когда речь идет о реальной безопасности/целостности данных, хотя надо признать, что еще достаточно много соединений с конечных устройств могут инициализироваться без использования HTTPS», — объяснил он.
Эксперт считает, что эти уязвимости вряд ли поставят под угрозу общую безопасность «должным образом защищенной сети».
Ранее стало известно о новой мошеннической схеме. Злоумышленники воспользовались отсутствием возможности у россиян зарегистрироваться в ChatGPT. Гражданам стали предлагать платные услуги по доступу к этому сервису. Пользователю предлагают приобрести доступ к уже существующему аккаунту либо помощь в регистрации нового. После перевода суммы за эту услугу мошенники перестают отвечать на вопросы и не предоставляют обещанное.