Vlákno názorů k článku Šifrování WPA2 prolomeno, Wi-Fi sítě je možné odposlouchávat (aktualizováno) od Pandau - A teď otázka od laika. Bude stačit aktualizovat...

A teď otázka od laika. Bude stačit aktualizovat Ap? Nebo všechna zařízení? Co se starým android mobilem?

Teoreticky jo, pokud bude aktualizace. Jistota je po WiFi provozovat jenom šifrovaný tunel (a samo, že s extra WiFi pro hosty s jiným heslem, ale to platilo odjakživa).

Android má takovou zajímavou vlastnost. 90+ % zařízení s ním je z pohledu SW odepsaný cca den po jeho koupi, kdy se po nabití nastavení a připojení na net zjistí, že půl roku od výroby bylo 20 CVE a žádná nová verze firmware... (jeden ze tří důvodů, proč nemám patlafoun s Androidem).

Zajímavá možnost by byla IPv6 only síť, kde
- WiFi dostane jiný prefix, kabelová síť jiný prefix a WiFi pro hosty jiný prefix
- Na WiFi se vynutí šifrování (vIPv6 standardní featura) - do děravé trubky se neinvazivně vloží hadice, kterou nic neproteče.
- Router odfiltruje nešifrovanou komunikaci z WiFi na vnitřní síť podle prefixu.

Jenomže IPv6 u ISP není a když je, tak idioti od kyslíků dají placený /64 prefix a už to nejde nasekat na tři sítě... :Q Nebo má někdo doma router, který IPv6 neumí.

Hlavně je vhodné zkontrolovat, jestli tam nemáte mnohem větší díry, které se tímhle dají využít, tedy vypnout WPS a používat pouze AES (CCMP). Pak může útočník posílané pakety tak maximálně číst, což řeší šifrování provozu (TLS).

Pro opravu té díry umožňující útočníkovi číst data bude potřeba aktualizovat klienty a nejspíš i standard. Aktualizace AP může přidat detekci útoku a vynutit rotaci klíčů, ale nemůže útoku zcela zabránit, útočník to může zkusit znovu.