Apenas unas semanas después del error HeartBleed que llegó a los titulares, un investigador de seguridad portugués, Luis Grangeia, ha ideado un nuevo método de ataque simple.

Lanzado hace una semana en GitHub, usa un par de parches para hostapd-2.1 y wpa_supplicant-2.1 que usa el error HeartBleed encontrado en redes inalámbricas que usan métodos de autenticación EAP basados ​​en TLS (específicamente OpenSSL).

Eso incluye tres protocolos tunelizados EAP TLS, EAP-PEAP, EAP-TLS y EAP-TTLS, dirigidos a los extremos del cliente y del servidor..

Revelación controvertida

Es probable que las revelaciones alimenten el debate sobre si tales descubrimientos deberían hacerse públicos..

En respuesta a un comentarista que condenó su enfoque, Grangeia dijo: "Mi presentación y código no son un ataque a ninguna herramienta que use OpenSSL, es una llamada de atención a una vulnerabilidad que los desarrolladores atentos conocían anteriormente. Lo siento, algunas fuentes de noticias. (y los desarrolladores) lo leen de otra manera ".

En Slideshare se puede encontrar una presentación completa sobre Cupid y cómo se podría usar para comprometer las redes inalámbricas..

Lo peor, sin embargo, todavía puede venir; El CEO de la empresa de seguridad de red iBoss planteó el espectro de la amenaza de Cupido que se extiende a través de GSM o CDMA..

  • Todo lo que necesitas saber sobre Heartbleed