Bara några veckor efter den HeartBleed-buggen som ramlade rubrikerna, har en portugisisk säkerhetsforskare, Luis Grangeia, kommit fram till en ny, enkel attackmetod.

Släpptes för en vecka sedan på GitHub, det använder ett par fläckar för hostapd-2.1 och wpa_supplicant-2.1 som använder HeartBleed-felet som finns på trådlösa nätverk som använder EAP-autentiseringsmetoder baserade på TLS (specifikt OpenSSL).

Det inkluderar tre EAP-TLS-tunnelprotokoll, EAP-PEAP, EAP-TLS och EAP-TTLS, som riktar in både klient- och serverändamål.

Kontroversiellt avslöjande

Uppenbarelserna kommer sannolikt att bromsa debatten om huruvida sådana upptäckter bör offentliggöras.

Svar på en kommentator som fördömde hans tillvägagångssätt, sade Grangeia "Min presentation och kod är inte en attack på några verktyg som använder OpenSSL, det är ett uppmärksamhet på en sårbarhet som tidigare kändes av uppmärksamma utvecklare. Jag beklagar några nyhetskällor (och utvecklare) läser det annars. "

En fullständig presentation om Cupid och hur det kan användas för att kompromissa med trådlösa nätverk finns på Slideshare.

Det värsta kan dock fortfarande komma. VD för nätverkssäkerhetsföretaget iBoss tog upp hotet om Cupidhotet som sprider sig över GSM eller CDMA.

  • Allt du behöver veta om Heartbleed