総括すれば、「電波が届く範囲にクラッカーがいたら、暗号化せずに通信した中身を盗み見される可能性がある」ということか。
だとすれば、ニンテンドーDS3 や GARMIN 630 、Withings body のファームウェアアップデートがなくても心配しなくてもいいか(もしあったらすぐに当てるけど)。
HT20(Android 6)と Jelly pro(Android 7)は特に危険らしいし、iPad 3 と iPhone 4S にもアップデートは来ないだろうが、それほどの問題ではなさそうだ。秘匿性の必要な通信をこれらですることはない。というか、iPhone 8 でもしない。それに、パスワードを要求するようなサイトの大半はSSL通信を実装している今、SSL通信じゃないログインサイトなんて自分が努めてる会社のガルーンとウェブメーラーとここだけだ。どれもゴミデータが行き交ってるだけで何の価値もない。まあ、自部がIT監査やるなら真っ先に指摘するけどね。
USB、Bluetooth についても同じような指摘がなされて、一瞬だけ大騒ぎになったが、その後、どうなったか分からないままだ。脆弱性の公表後に開発された機器のソフトウェアは対策が打たれたものなのだろうが(そうあって欲しいが確認の術がない)、それ以前にユーザーの手元にあるデバイスについては放置されたままだ。PCやタブレット、スマホはOSのアップデートで対策が打たれたのかもしれないが、組み込み型デバイスのファームウェアはアップデートできなかったはずだ。
今日(米国時間10/16)、セキュリティー専門家のMathy VanhoefはWPA2暗号化プロトコルにおける深刻な脆弱性を公表した。現在利用されているほとんどのルーターその他のデバイスはWiFi接続を保護するためにWPA2暗号化を用いている。つまりきわめて多くのユーザーがこの問題の影響を受ける。このKRACK〔Key Reinstallation AttaCKs=キー再インストール攻撃〕脆…