En designfejl i den såkaldte Wi-Fi Protected Setup (WPS) protokol betyder at det er forholdsvis let for hackere at finde frem til den pin-kode, der skal beskytte netværket. Det fortæller US-Cert i en meddelelse.
WPS bruges i mange trådløse routere. Denne teknologi skal gøre det mindre besværligt at installere og koble nye enheder til trådløse netværk. Brugeren behøver blot indtaste en kort pin-kode på otte cifre for at tilslutte en ny enhed.
Det er sikkerhedsforskeren Stefan Viehbock, der har fundet sikkerhedsbristen. Han omtaler også problemet i sin blog.
Han skriver at problemet gælder for millioner af routere - og ingen af leverandørerne har indtil videre reageret med firmware-opdateringer.
Det grundlæggende problem er, at man kan gætte sig frem til pin-koden med et brute force-angreb - altså ved at afprøve alle mulige kombinationer. Det lyder som en stor opgave at finde frem til de rigtige otte cifre, men designfejlen betyder, at hackeren i første omgang kun behøver at finde de fire første cifre. Herefter bliver det sidste ciffer også afsløret. Så er der kun tre tilbage.
Resultatet er, at det kan klares med omkring 11.000 forsøg. Mange routere tillader et ubegrænset antal forsøg, så man kan blot skrive et program som afprøver alle tænkelige kombinationer. I andre tilfælde kan man få routeren til at lukke ned, hvis man bombarderer den med forespørgsler.
US-Cert anbefaler at man helt bør deaktivere WPS indtil der er fundet en løsning på problemet.
