Řada nově odhalených bezpečnostních chyb týkajících se WPA2 dovoluje útočníkům odposlouchávat provoz mezi přístupovým bodem a klientským zařízením. Hovoří se také o možnosti únosu spojení nebo vkládání vlastních informací do datového toku.

Útok se nazývá KRACK, což je zkratka pro Key Reinstallation Attacks. Manipuluje s úvodním čtyřcestným handshakem, který je použit pro výměnu šifrovacího klíče používaného během další komunikace. KRACK zneužívá chyby ve třetím kroku, kdy je možné klíč poslat několikrát. Pokud je to uděláno správným způsobem, může být úvodní nonce použit tak, že to kompletně boří bezpečnost šifrování.

Konkrétní detaily byly zveřejněny v pondělí v 11:00 webu KrackAttacks.com. O chybě byla v předstihu několika týdnů informována zhruba stovka organizací, především výrobci Wi-Fi routerů a dalších zařízení. Detaily jsou zatím pečlivě střeženy, aby měli výrobci šanci vydat záplaty.

This is a core protocol-level flaw in WPA2 wi-fi and it looks bad. Possible impact: wi-fi decrypt, connection hijacking, content injection. https://t.co/FikjrK4T4v