Solo poche settimane dopo l'insetto HeartBleed che ha colpito i titoli dei giornali, un ricercatore portoghese della sicurezza, Luis Grangeia ha inventato un nuovo metodo di attacco semplice.

Rilasciata una settimana fa su GitHub, utilizza un paio di patch per hostapd-2.1 e wpa_supplicant-2.1 che utilizza il bug HeartBleed trovato su reti wireless che usano i metodi di autenticazione EAP basati su TLS (specificamente OpenSSL).

Ciò include tre protocolli tunnelizzati EAP TLS, EAP-PEAP, EAP-TLS ed EAP-TTLS, rivolti sia ai client che ai server..

Divulgazione controversa

È probabile che le rivelazioni alimentino il dibattito sul fatto che tali scoperte debbano essere rese pubbliche.

Rispondendo a un commentatore che ha condannato il suo approccio, Grangeia ha dichiarato: "La mia presentazione e il codice non sono un attacco a nessun tool che utilizza OpenSSL, è un richiamo all'attenzione di una vulnerabilità precedentemente nota agli sviluppatori attenti. (e sviluppatori) leggerlo diversamente. "

Una presentazione completa su Cupido e su come potrebbe essere utilizzato per compromettere le reti wireless può essere trovata su Slideshare.

Il peggio tuttavia può ancora arrivare; l'amministratore delegato della società di sicurezza della rete iBoss ha sollevato lo spettro della minaccia di Cupid diffondendosi su GSM o CDMA.

  • Tutto quello che devi sapere su Heartbleed