Het lek is maandagochtend gepresenteerd door de Belgische onderzoekers Mathy Vanhoef en Frank Piessens van de KU Leuven. De aanvalsmethode die ter bewijs is ontwikkeld draagt de naam Key Reinstallation Attacks, afgekort KRACK.
Het lek stelt criminelen in staat om in te breken op een met een wachtwoord beveiligd netwerk. Zo kan internetverkeer worden afgeluisterd. Bij enkele versies van het WPA2-protocol kan zelfs malafide verkeer naar verbonden apparaten worden gestuurd.
Een aanvaller moet fysiek in de buurt van een wifi-netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.
In hun paper (pdf) stellen de onderzoekers dat "elk wifi-apparaat kwetsbaar is voor een variant van onze aanvallen". Apparaten met Android-versie 6.0 en nieuwer zijn volgens de wetenschappers extra kwetsbaar, door een extra bug in het besturingssysteem.
"Dit maakt het eenvoudig om verkeer te onderscheppen en manipuleren." De getroffen Android-versies staan op ongeveer de helft van alle Android-toestellen die wereldwijd in gebruik zijn.
Google gaat Android op 6 november van een update voorzien. Veel oudere toestellen krijgen de nieuwste beveiligingsupdates echter niet meer en blijven vermoedelijk dus kwetsbaar.
Bij de getoonde aanvalsmethode wordt de versleuteling van een WPA2-verbinding omzeild. Dit gebeurt via een fout in de 'handshake' die plaatsvindt als apparaten verbinding maken met een wifi-router.
WPA2 is de meest gangbare beveiligingsmethode om een wifi-netwerk met een wachtwoord te versleutelen. De standaard werd lange tijd gezien als de meest veilige beveiligingsmethode; de eerdere standaard WEP bleek in het vorige decennium al makkelijk te kraken.
Bij het lek wordt het wachtwoord van het wifi-netwerk niet zichtbaar voor de aanvaller.
Het Amerikaanse Computer Emergency Readiness Team (CERT) heeft al gewaarschuwd voor het lek. De Nederlandse evenknie, het Nationaal Cyber Security Centrum (NCSC), zegt dat WPA2 nog steeds de beste beveiligingsmethode is voor draadloze netwerken, maar dat de schade door dit lek potentieel hoog kan zijn. De kans dat van dit lek misbruik wordt gemaakt is volgens het NCSC 'gemiddeld'.
Door de vondst zijn met een wachtwoord beveiligde wifi-netwerken in theorie net zo kwetsbaar als geheel onbeveiligde netwerken. Cybersecurity-experts adviseren al langere tijd om niet met onbeveiligde netwerken te verbinden, omdat dat het voor criminelen makkelijk maakt om mee te luisteren.
Het lek kan worden gedicht door het hergebruik van encryptiesleutels onmogelijk te maken in het authenticatieproces, aldus het artikel van de onderzoekers. Een update kan worden doorgevoerd in de wifi-router, of in de apparaten die hiermee zijn verbonden. Als één van de twee is voorzien van een beveiligingsupdate, dan werkt de hack al niet meer. De onderzoekers adviseren om de apparaten die met het netwerk verbinden eerst van een update te voorzien.
Microsoft heeft volgens een woordvoerder op maandag een beveiligingsupdate beschikbaar gesteld die het lek moet dichten. De update is uitgebracht voor Windows 8 en latere versies van het besturingssysteem.
Apple heeft nog niks gezegd over mogelijke updates voor iOS en macOS. Ingewijden stellen echter tegenover AppleInsider dat Apple al een oplossing voor het lek heeft uitgebracht in "recente" bètaversies van macOS, iOS, tvOS en watchOS. Het is niet duidelijk om welke bètaversies het gaat.
Telecomproviders Ziggo en KPN zeggen op de hoogte te zijn van het lek. Zij onderzoeken mogelijke oplossingen, zeggen woordvoerders van de bedrijven. Veel Nederlanders gebruiken routers die door hun internetprovider zijn aangeleverd.