Popüler açık kaynaklı Meshtastic projesinde ciddi bir şifreleme güvenlik açığı, saldırganların özel mesajları şifresini çözmesine ve Lora Mesh Networks’teki kaçırma düğümlerini sağlamasına olanak tanır.
Bu kusur, anahtar üretimi sırasında kopyalanmış şifreleme anahtarlarından ve yetersiz rastgelelikten kaynaklanmaktadır.
Sorun, birden fazla donanım platformunu etkiler ve acil müdahale ve uzaktan keşifler gibi senaryolarda güvenli şebeke dışı iletişim için Meshtastic’e güvenen kullanıcılar için önemli riskler oluşturmaktadır.
.png
)
Güvenlik Açığı Mekaniği ve Etki
Kusur, iki kritik arızadan kaynaklanmaktadır:
- Anahtar çoğaltma: Donanım satıcıları, kütle yanıp sönen prosedürler sırasında klonlama nedeniyle aynı genel/özel anahtar çiftleri olan cihazları gönderdi.
- Düşük entropi tuşları: Şifreleme kütüphanesi, bazı platformlarda rastgele havuzları düzgün bir şekilde başlatamadı ve anahtar üretimini zayıflattı.
Bu güvenlik açığından yararlanan saldırganlar:
- Derlenmiş, uzlaştırılmış anahtar listelerini kullanarak etkilenen cihazlar arasında gönderilen doğrudan mesajları şifresini çözün.
- Yetkili yöneticilerin kimliğine bürünerek uzaktan yönetim özelliklerini ele geçirin.
- Ağ trafiğini veya cihaz işlevini manipüle etmek için düğümler üzerinde yetkisiz kontrol kazanın.
Hafifletme ve yamalar
Meshtastic geliştiricileri, kritik düzeltmelerle 2.6.11 ürün yazılımı sürümünü yayınladı:
- Anahtar üretim gecikmesi: Kullanıcılar LORA bölgelerini ilk ayarladığında anahtarlar üretiliyor ve satıcı tarafındaki çoğaltmayı önlüyor.
- Entropi iyileştirmeleri: Kriptografik başlatmayı güçlendirmek için birden fazla rastgelelik kaynağı eklendi.
- Tehlikeye atılmış anahtar tespit: Bilinen savunmasız anahtarlar algılanırsa cihazlar artık kullanıcıları uyarıyor.
Yaklaşan bir sürüm (2.6.12), tehlikeye atılan anahtarları otomatik olarak silecektir. Hemen koruma için kullanıcılar şunlar olmalıdır:
- Cihazları 2,6.11 veya daha sonraki ürün yazılımı olarak güncelleyin.
- Meshtastic’in CLI: Meshtastic –Factory-Recivice’i kullanarak bir fabrika sıfırlaması yapın.
- Kritik dağıtımlar için OpenSSL aracılığıyla manuel olarak yüksek entropi tuşları oluşturun.
Bu olay, merkezi olmayan iletişimin sağlanmasındaki zorlukları vurgulamaktadır:
- Tedarik zinciri riskleri: Seri üretimde yanıp sönen süreçler sistemik güvenlik açıkları yarattı.
- Kuantum güvenlik açığı: Meshtastic’in AES-256 şifrelemesi kuantum dirençli olsa da, anahtar değişimi gelecekteki kuantum saldırılarına karşı hassastır.
- Eski cihaz sınırlamaları: 2.5.0 Pre-2.5.0 ürün yazılımı sürümlerinde PKC koruması tamamen yoktur.
Meshtastic’in koruyucuları, yamalı cihazların nüksü önlemesi gerektiğini vurgular, ancak periyodik kanal anahtarı rotasyonunu önerir ve gözetimsiz düğümlerde özel kanallardan kaçınır.
Topluluğa dayalı yanıt, açık kaynak uyarlanabilirliğini göstermektedir, ancak kusurun keşfi, güvenlik duyarlı dağıtımlarda titiz donanım sağlama denetimlerinin önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin