各ベンダーの反応についてこちらをご覧ください(英語)
- 攻撃手法の特徴から「Key Reinstallation AttaCKs(KRACK)」と呼ばれる
- WiFiでセキュアに接続する際、暗号の鍵を再インストールできる脆弱性
- プロトコルの脆弱性なので、特定の製品に関係なく、すべてのデバイスに影響がある
- 攻撃者は物理的にWi-Fiに接続できる環境にいる必要がある
- 暗号化された情報を読み取ることができる
- これにより、敵対者は接続のTCPシーケンス番号を取得し、TCP接続を乗っ取ることができる
- 暗号化されたブロードキャスト・マルチキャストのデータを再送信することができる
- パケットを偽造して注入までできる (TKIP or GCMPモードのみ)
- クライアントに対して予測可能なオールゼロ暗号化キーを使用させることができる (ANDROID 6.0+ and LINUX)
- Wi-Fiのパスワードを読み取れるわけではない
- パケットを偽造して注入までできない (AES-CCMPモードのみ)
- 各ベンダーが責任を負う場合、ほとんどのデバイスはアップデート可能
- 多くのデバイスで簡単にアップデートを適用する方法がない
- デバイスのアップデートなど、消費者に対して大きな負担をかける
- アップデートを簡単に検索できるまとめサイトがまだない
- クライアントとアクセスポイント(ルーター)の両方で機能する
- ただし、アクセスポイントを更新してもクライアント側での対策にはならない
- Android 6.0以降のデバイスに対する攻撃は非常に簡単におこなえる
- Wi-Fiを無効にし、しばらく4Gのみを使用することが重要
- 可能性として多くの IoT デバイスで更新が行われることがなさそう