Ernstig lek in wifiverbindingen ontdekt, miljoenen apparaten kwetsbaar
(themabeeld) Foto: shutterstock

Wifiverbidingen zijn niet zo veilig als tot nu gedacht werd. Door een beveiligingslek in WPA2, wereldwijd het meest gebruikte systeem om ‘veilig’ draadloze netwerken op te zetten, kunnen hackers zich een toegang verschaffen tot uw gegevens, zo blijkt uit onderzoek van twee Belgen. Dat gaat van wachtwoorden, over chatberichten en e-mails tot kredietkaartgegevens.

WPA2, voluit Wi-Fi Protected Access, is zowat overal ter wereld - ook in ons land - dé norm voor de beveiliging van draadloze netwerken. De kans is erg groot dat u er ook thuis gebruik van maakt. Logisch, want in tegenstelling tot het verouderde WEP (Wired Equivalent Privacy) was WPA2 wél veilig. Toch?

Niet helemaal, zo blijkt uit onderzoek van de twee Belgen Mathy Vanhoef (KU Leuven) en Frank Piessens (Imec-DistriNet). Wat is het probleem? Volgens Vanhoef en Piessens zouden de beveiligingssleutels bij WPA2 niet ‘willekeurig’ worden gekozen, waardoor ze ‘voorspeld’ kunnen worden. ‘Een hacker die fysiek binnen het bereik van je wifinetwerk is, kan dat lek uitbuiten aan de hand van Key Reinstallation Attacks’, schrijven de twee op de website Krackattacks.com. ‘Daardoor kunnen ze uw gecodeerde informatie ontsleutelen en uw wachtwoorden, chatberichten, e-mails, foto’s, kredietkaartgegevens… stelen. De hackers zullen ook data kunnen ingeven én manipuleren. Zo zullen ze bijvoorbeeld ransomware of andere kwaadwillige software kunnen installeren.’

Wat kan ik ertegen doen?

Je wachtwoord van je wifinetwerk veranderen volstaat niet, aangezien het lek in het beveiligingssysteem zelf zit en niet in individuele instellingen. ‘Om een aanval te voorkomen moeten gebruikers hun systeem updaten zodra de nieuwe veiligheidsupdates beschikbaar zijn. De meeste toestellen met wifi zijn waarschijnlijk besmet. Uit ons onderzoek bleek dat alleszins het geval met alle toestellen van Android, Linux, Apple, Windows, Open BSD, MediaTek, Linksys en vele andere...’

De twee onderzoekers hebben ook een YouTube-video gemaakt waarin ze een aanval simuleren op een Android-smartphone. ‘Hierbij waren we in staat alle data die uitgezonden werd door de gebruiker, dus alles wat hij online doet, te ontcijferen.’

Sommige websites of apps gebruiken het HTTPS-protocol als bijkomende bescherming, maar ook die kan volgens de onderzoekers omzeild worden. ‘Zowat alle toestellen zijn kwetsbaar, al is het op dit moment nog niet duidelijk hoeveel slachtoffers er al gevallen zijn door het lek. Het is ook erg moeilijk om te bepalen, want Key Reinstallations kunnen ook spontaan gebeuren, zonder dat er mensen met kwaadwillige bedoelingen achter zitten.’

Updates installeren

‘Het is ook helemaal niet goed om nu terug te keren naar het WEP-protocol’, schrijft Vanhoef nog. ‘Dat is nog veel onveiliger dan WPA2. Blijf het dus gebruiken. Het belangrijkste is de beveiligingsupdates installeren zodra die beschikbaar zijn. Om te weten wanneer dat is, neem je best contact op met de verkoper van het toestel of online op de website van de fabrikant.’