તાજેતરમાં 12 નબળાઈઓ પરની માહિતી જાહેર કરવામાં આવી હતી જે કોડ હેઠળ ઓળખાય છે "ફ્રેગ ttટેક્સ" વિવિધ વાયરલેસ ઉપકરણોને અસર કરે છે અને તેઓ પરીક્ષણ કરેલ 75 ઉપકરણોમાંથી, વર્ચ્યુઅલ રીતે બધા વાયરલેસ કાર્ડ્સ અને વપરાશમાં રહેલા accessક્સેસ પોઇન્ટને આવરી લે છે, દરેક સૂચિત હુમલો પદ્ધતિઓમાંથી ઓછામાં ઓછી એક દ્વારા પ્રભાવિત છે.
સમસ્યાઓ બે વર્ગોમાં આવે છે: 3 નબળાઈઓને સીધા Wi-Fi ધોરણોમાં ઓળખવામાં આવી હતી અને તે બધા ઉપકરણોને આવરી લે છે જે વર્તમાન આઇઇઇઇ 802.11 ધોરણોને સમર્થન આપે છે (1997 થી મુદ્દાઓને ટ્રેક કરવામાં આવ્યા છે).
9 નબળાઈઓ વાયરલેસ સ્ટેક્સના વિશિષ્ટ અમલીકરણમાં ભૂલો અને ભૂલોનો સંદર્ભ આપે છે. મુખ્ય ભય એ બીજી કેટેગરી છે, કારણ કે ધોરણોમાં ભૂલો પરના હુમલાના સંગઠનને ચોક્કસ દૃશ્યો અથવા પીડિત દ્વારા ચોક્કસ ક્રિયાઓના અમલની જરૂર હોય છે.
પ્રોટોકોલના ઉપયોગને ધ્યાનમાં લીધા વિના બધી નબળાઈઓ દેખાય છે Wi-Fi સુરક્ષાની ખાતરી કરવા માટે, WPA3 નો ઉપયોગ કરતી વખતે પણ, કારણ કે મોટાભાગની ઓળખાયેલી હુમલાની પદ્ધતિઓ કોઈ હુમલાખોરને સુરક્ષિત નેટવર્ક પર એલ 2 ફ્રેમ રિપ્લેસમેન્ટ કરવાની મંજૂરી આપે છે, જેનાથી પીડિત ટ્રાફિકને અવરોધિત કરવાનું શક્ય બને છે.
હુમલાખોરના હોસ્ટ તરફ વપરાશકર્તાને ડાયરેક્ટ કરવા માટે ડીએનએસ રિસ્પોન્સ સ્પૂફિંગનો ઉલ્લેખ સૌથી વાસ્તવિક હુમલો દૃશ્ય તરીકે કરવામાં આવે છે. તે વાયરલેસ રાઉટર પર એડ્રેસ ટ્રાન્સલેટરને બાયપાસ કરવા માટે અને નબળાઈઓનો ઉપયોગ કરીને અને સ્થાનિક નેટવર્ક પરના ઉપકરણની સીધી provideક્સેસ અથવા ફાયરવ restrictionsલ પ્રતિબંધોને બાયપાસ કરવા માટેનું ઉદાહરણ પૂરું પાડે છે.
નબળાઈઓનો બીજો ભાગ, જે ખંડિત ફ્રેમ્સની પ્રક્રિયાથી સંબંધિત છે, તમને વાયરલેસ નેટવર્કમાં ટ્રાફિક વિશેનો ડેટા કાractવા અને એન્ક્રિપ્શનનો ઉપયોગ કર્યા વિના પ્રસારિત વપરાશકર્તા ડેટાને અટકાવવા દે છે.
કોઈ સંશોધનકારે એક નિદર્શન તૈયાર કર્યું છે જે બતાવે છે કે કેવી રીતે એનક્રિપ્શન વિના HTTP ઉપર વેબસાઇટને whenક્સેસ કરતી વખતે સંક્રમિત પાસવર્ડને અટકાવવા માટે નબળાઈઓનો ઉપયોગ કરી શકાય છે, તે Wi-Fi દ્વારા નિયંત્રિત સ્માર્ટ પ્લગ પર કેવી રીતે હુમલો કરવો તે પણ બતાવે છે અને હુમલો ચાલુ રાખવા માટે તેનો ઉપયોગ કરે છે. સ્થાનિક નેટવર્ક પર જૂનાં ઉપકરણો કે જેમની પાસે નબળાઈઓ છે (ઉદાહરણ તરીકે, એનએટી ટ્રversવર્સલ દ્વારા આંતરિક નેટવર્ક પર અપડેટ કર્યા વિના વિન્ડોઝ 7 કમ્પ્યુટર પર હુમલો કરવો શક્ય છે).
નબળાઈઓનો લાભ લેવા માટે, કોઈ હુમલાખોર વાયરલેસ ડિવાઇસની મર્યાદામાં હોવો જોઈએ ભોગ બનનારને ખાસ ડિઝાઇન કરેલા ફ્રેમ્સનો સેટ મોકલવાનો લક્ષ્યાંક છે.
મુદ્દાઓ ક્લાયંટ ઉપકરણો અને વાયરલેસ કાર્ડ બંનેને અસર કરે છેતેમજ Wi-Fi accessક્સેસ પોઇન્ટ અને રાઉટર્સ. સામાન્ય રીતે, HTTPS પર DL અથવા DNS ઉપર DNS નો ઉપયોગ કરીને DNS ટ્રાફિકની એન્ક્રિપ્શન સાથે સંયોજનમાં HTTPS એ સુરક્ષા માટેના કાર્યક્ષેત્ર તરીકે પૂરતું છે. વીપીએન પણ રક્ષણ માટે યોગ્ય છે.
સૌથી ખતરનાક ચાર નબળાઈઓ છે વાયરલેસ ડિવાઇસ અમલીકરણોમાં કે તુચ્છ પદ્ધતિઓને તેમના અનક્રિપ્ટ થયેલ ફ્રેમ્સની અવેજી પ્રાપ્ત કરવાની મંજૂરી આપે છે:
- નબળાઈઓ CVE-2020-26140 અને CVE-2020-26143 લિનક્સ, વિંડોઝ અને ફ્રીબીએસડી પર કેટલાક એક્સેસ પોઇન્ટ્સ અને વાયરલેસ કાર્ડ્સ પર ફ્રેમિંગને મંજૂરી આપો.
- નબળાઇ CVE-2020-26145 મenકઓએસ, આઇઓએસ અને ફ્રીબીએસડી અને નેટબીબીએસડી પર અનઇક્રિપ્ટ થયેલ સ્ટ્રીમ ભાગોને સંપૂર્ણ ફ્રેમ્સ તરીકે ગણવાની મંજૂરી આપે છે.
- નબળાઇ CVE-2020-26144 હ્યુઆવેઇ વાઇ 6, નેક્સસ 5 એક્સ, ફ્રીબીએસડી અને લેનકોમ એપી પર ઇથરટાઇપ ઇએપીઓલ સાથે અનઇક્રિપ્ટ થયેલ ફરીથી ગોઠવેલ એ-એમએસડીયુ ફ્રેમ્સની પ્રક્રિયાને સક્ષમ કરે છે.
અન્ય અમલીકરણની નબળાઈઓ મુખ્યત્વે ટુકડાવાળા ફ્રેમવર્કને નિયંત્રિત કરવામાં સમસ્યાઓથી સંબંધિત છે:
- સીવીઇ -2020-26139: ઇએઓપીએલ માર્ક કરેલા ફ્રેમ્સને ફોરવર્ડ કરવાની મંજૂરી આપે છે અનઆધિકૃત પ્રેષક (2/4 ચકાસાયેલ accessક્સેસ પોઇન્ટ્સ, નેટબીએસડી અને ફ્રીબીએસડી સોલ્યુશન્સને અસર કરે છે) દ્વારા મોકલેલા ફ્રેમ્સને.
- CVE-2020-26146- તમને ક્રમ નંબરોના checkingર્ડરને તપાસ્યા વિના એનક્રિપ્ટ થયેલ ટુકડાઓ ફરીથી ગોઠવવાની મંજૂરી આપે છે.
- CVE-2020-26147- મિશ્રિત એન્ક્રિપ્ટેડ અને અનક્રિપ્ટ થયેલ ટુકડાઓને ફરીથી ફેરવવાની મંજૂરી આપે છે.
- CVE-2020-26142- ટુકડેલા ફ્રેમ્સને સંપૂર્ણ ફ્રેમ્સ તરીકે ગણવાની મંજૂરી આપે છે (ઓપનબીએસડી અને ઇએસપી 12-એફ વાયરલેસ મોડ્યુલને અસર કરે છે).
- CVE-2020-26141: ટુકડાઓવાળા ફ્રેમ્સ માટે TKIP MIC તપાસ ગુમ.
અન્ય સમસ્યાઓ ઓળખાય છે:
- સીવીઇ -2020-24588: એકંદર ફ્રેમ એટેક કે જે વપરાશકર્તાને દૂષિત DNS સર્વર અથવા એનએટી ટ્ર traવર્સલ પર રીડાયરેક્ટ કરવાની મંજૂરી આપે છે તે હુમલાના ઉદાહરણ તરીકે ઉલ્લેખિત છે.
- CVE-2020-245870- કી મિક્સ એટેક (ડબલ્યુપીએ, ડબલ્યુપીએ 2, ડબલ્યુપીએ 3 અને ડબ્લ્યુઇપીમાં વિવિધ કી સાથે એન્ક્રિપ્ટ કરેલા ટુકડાઓને ફરીથી છૂટા કરવાની મંજૂરી છે). હુમલો તમને ક્લાયંટ દ્વારા મોકલેલો ડેટા નક્કી કરવાની મંજૂરી આપે છે, ઉદાહરણ તરીકે, HTTP દ્વારા acક્સેસ કરવામાં આવે ત્યારે કૂકીની સામગ્રી નક્કી કરો.
- CVE-2020-24586 - ફ્રેગમેન્ટ કેશ એટેક (ડબલ્યુપીએ, ડબલ્યુપીએ 2, ડબલ્યુપીએ 3 અને ડબ્લ્યુઇપીને આવરી લેતા ધોરણોને નેટવર્ક સાથે નવા જોડાણ પછી કેશમાં સ્થાયી થયેલા ટુકડાઓ દૂર કરવાની જરૂર નથી). તે ક્લાયંટ દ્વારા મોકલેલા ડેટાને ઓળખવાની અને તેમના ડેટાની ફેરબદલ હાથ ધરવા માટે પરવાનગી આપે છે.
જો તમે તેના વિશે વધુ જાણવા માંગતા હો, તમે સંપર્ક કરી શકો છો નીચેની કડી.