Mathy Vanhoef in Eyal Ronen
Spomnimo, aprila sta bila ista avtorja
Vendar pa je analiza pokazala, da uporaba Brainpoola vodi do novega razreda uhajanja stranskih kanalov v algoritmu za pogajanja o povezavi, ki se uporablja v WPA3
Ko uporablja Brainpoolovo eliptično krivuljo, Dragonfly kodira geslo tako, da izvede več predhodnih ponovitev gesla, da hitro izračuna kratko zgoščeno vrednost, preden uporabi eliptično krivuljo. Dokler ni najden kratek hash, so izvedene operacije neposredno odvisne od odjemalčevega gesla in naslova MAC. Čas izvajanja (v korelaciji s številom ponovitev) in zakasnitve med operacijami med predhodnimi ponovitvami je mogoče izmeriti in uporabiti za določitev značilnosti gesla, ki jih je mogoče uporabiti brez povezave za izboljšanje izbire delov gesla v procesu ugibanja gesla. Za izvedbo napada mora imeti uporabnik, ki se povezuje v brezžično omrežje, dostop do sistema.
Poleg tega so raziskovalci identificirali drugo ranljivost (CVE-2019-13456), povezano z uhajanjem informacij pri izvajanju protokola
V kombinaciji z izboljšanim zavračanjem šuma v procesu merjenja zakasnitve zadostuje 75 meritev na naslov MAC za določitev števila ponovitev. Pri uporabi GPE je strošek virov za ugibanje enega slovarskega gesla ocenjen na 1 USD. Metode za izboljšanje varnosti protokola za blokiranje ugotovljenih težav so že vključene v osnutke različic prihodnjih standardov Wi-Fi (
Vir: opennet.ru