Dit is een ontwerpfout in de Wi-Fi Protected Setup, een wereldwijd gebruikte standaard voor het gemakkelijk configureren van WiFi-routers. Een aanvaller kan hierdoor de eerste helft in handen krijgen van de inlogcode voor het configuratie- en beheerprogramma van het WiFi-apparaat.

8 cijfers, 4 te kraken

Bij het configureren van het draadloze netwerk moet die PIN-code worden ingevoerd. De PIN die geldt voor Wi-Fi Protected Setup bestaat uit slechts acht cijfers. Het kraken van de resterende vier getallen is met een zogeheten brute force-aanval in korte tijd te doen.

Deze aanval op WiFi-routers is uit te voeren vanaf het vaste netwerk waar die apparaten mee zijn verbonden, maar ook via bijvoorbeeld een WiFi-gastnetwerk. De vaak openstaande gasttoegang laat de aanvaller eventuele WPA-encryptie omzeilen om het beheer van de achterliggende router te kunnen kapen.

Sinds 2007

Dit gat is ontdekt door security-onderzoeker Stefan Viehböck die de het uiteenzet in een paper (PDF). Wi-Fi Protected Setup is begin 2007 geïntroduceerd en is inmiddels aanwezig in nagenoeg alle WiFi-routers. Het US Computer Emergency Readiness Team (US CERT) waarschuwt in een advisory voor deze kwetsbaarheid.

Een aanvaller kan op verschillende momenten in het proces van authenticatie een foutmelding krijgen. Die foutmelding verklapt deels de PIN-code. Afhankelijk van het moment waarop de aanvaller een foutmelding krijgt, weet hij of bijvoorbeeld het eerste deel van de door hem ingevoerde inlogcode juist is.

Maar 11.000 mogelijkheden

Als de aanvaller de helft van de code in handen heeft, daalt het aantal te kraken cijfercombinaties drastisch. Om de hele code te raden zijn er maximaal 10 miljoen combinaties mogelijk. Als er nog maar vier cijfers geraden hoeven te worden, is dat aantal gedaald naar 20.000 mogelijke codes.

Van de acht cijfers hoeft de aanvaller er uiteindelijk maar zeven te raden. Het achtste getal is namelijk altijd een checksum van de hele code. Hierdoor daalt het aantal mogelijke codes zelfs naar 11.000.

Maximaal vier uur

Ontdekker Viehböck stelt dat hij maximaal vier uur nodig had om een PIN-code te brute forcen. In de praktijk zou voor de meeste WiFi-routers maar de helft van de tijd nodig zijn. Routerfabrikanten bieden volgens de onderzoeker onvoldoende bescherming tegen de aanvallen.

Zo zit er vaak geen limiet op het aantal inlogpogingen, wat bij een brute force-aanval een flinke hoeveelheid is. Alleen de routers van Netgear kennen een 'lockdown'-periode, maar die is te kort om deze aanval in de praktijk echt onmogelijk te maken.