Vlaamse onderzoekers ontdekken een lek in de beveiliging van draadloos internet. Overheden wereldwijd slaan alarm.

Vele miljoenen gebruikers van wifi lopen het risico dat hun internetgedrag afgekeken wordt en dat hackers vertrouwelijke informatie stelen. De ontdekking van de Key Reinstallation Attack, zoals het lek heet, is het werk van Mathy Vanhoef, postdoctoraatsonderzoeker aan de KU Leuven. Onderzoekers van de universiteit Leuven maakten deze bevindingen maandag bekend, en het werd kort daarop bevestigd door het Nationaal Cyber Security Center (NCSC), dat direct alarm sloeg.

“Veilig wifi is cruciaal voor het goed functioneren van de Nederlandse samenleving”, waarschuwt het NCSC. Aangezien het een wereldwijd lek is, vaardigen overheden in veel andere landen vergelijkbare waarschuwingen uit voor de kwetsbaarheid, die door de onderzoekers ‘KRACK’ is genoemd. Het is de eerste keer dat er zo’n groot lek is ontdekt in de beveiliging van wifi.

NRC beantwoordt drie vragen hierover.

1) Wat is er precies mis?
Er zit een beveiligingslek in de standaardtechnologie die een veilige verbinding tot stand moet brengen, WPA2. Door de fout was verkeer dat veilig leek mogelijk jarenlang kwetsbaar voor hackers. De onderzoekers richtten zich op de digitale ‘handdruk’ die een wifinetwerk en smartphone of laptop met elkaar maken. In principe is elk apparaat dat wifi gebruikt op basis van WPA2 (en de voorloper WPA) kwetsbaar voor deze aanvalstechnieken. Voor de beveiliging van wifi zijn geen andere technieken dan WPA2 beschikbaar, en wifi is een van de meestgebruikte manieren ter wereld om online te gaan.

Met hulp van het lek kunnen kwaadwillenden bijvoorbeeld wachtwoorden voor websites onderscheppen, creditcardnummers aflezen, en e-mails, foto’s en andere privé-communicatie inzien. Een hacker moet wel fysiek in de buurt zijn van het wifinetwerk om de aanval uit te voeren.

2) Wie zijn kwetsbaar?
Volgens de Belgische onderzoekers zijn alle wifiverbindingen potentieel kwetsbaar, maar zijn verbindingen via Android-apparaten extra gevoelig voor inbraak. Het NCSC werkt met drie verschillende codes om de ernst van een kwetsbaarheid of aanval aan te duiden: groen voor laag, geel voor middelhoog en rood voor hoog. Het centrum schat de technische kwetsbaarheid zelf in op code rood, omdat het lek potentieel veel schade kan opleveren. Ook huishoudelijke apparaten zoals tv’s, koelkasten en tandenborstels met een internetverbinding zijn bijvoorbeeld kwetsbaar.

Maar de totale impact van de aanval schaalt het NCSC lager in: op code geel. De mogelijkheid tot misbruik van deze kwetsbaarheid is beperkt, aangezien de aanvaller fysiek in de buurt moet zijn van het wifinetwerk. "Een hacker moet bij wijze van spreken echt in een busje in de buurt staan om in te kunnen breken, en het is een behoorlijk geavanceerde hack die niet zomaar elke hacker kan uitvoeren”, zegt woordvoerder Anna Sophia Posthumus.

Volgens de Wi-Fi Alliance, de organisatie die gaat over certificering van wifi-apparaten is er geen bewijs dat het lek is gebruikt door kwaadwillenden. Maar het is vrijwel onmogelijk om in te schatten hoeveel slachtoffers er daadwerkelijk zijn geweest.

3) Wat is eraan te doen?
Een standaard zoals WPA2 is het product van uitgebreid overleg tussen fabrikanten en experts, er is dan ook niemand direct verantwoordelijk voor het gat. De fout zit niet in specifieke apparaten, maar in de beveiligingsstandaard die álle fabrikanten gebruiken. De kwetsbaarheid valt te repareren, maar dan moeten fabrikanten dus wel allemaal hun eigen apparaten voorzien van een update, en vervolgens moeten klanten die ook nog zelf installeren.

De onderzoekers hebben leveranciers al vóór publicatie gewaarschuwd voor het lek, waardoor sommige fabrikanten nu al updates hebben uitgebracht, maar nog lang niet allemaal. Google, de uitbater van het bovengemiddeld kwetsbare besturingssysteem Android, zegt dat het ‘binnen enkele weken’ een update uitbrengt.

Het NCSC raadt consumenten – voor de zoveelste keer – met klem aan om altijd beveiligingsupdates van apparaten te installeren, en intussen voor vertrouwelijke communicatie altijd een zogeheten VPN-verbinding te gebruiken. Instructies vind je hier.

Informatie die wordt uitgewisseld via sites die zijn beveiligd met beveiligingsprotocol HTTPS zijn sowieso niet vatbaar voor de inbraak. Die sites zijn te herkennen aan het slotjes-icoon in de internetbrowser. Verkeer via het mobiele 4G-internetnetwerk is niet kwetsbaar voor deze hack, overstappen op 4G in plaats van wifi is dus ook een optie, volgens beveiligingsbedrijf Fox-IT.

Lees ook: Hoe stel ik VPN in?