Facebook lagrar din samtalshistorik och dina SMS

Facebook

Flera användare på Twitter skriver att de hittat flera års historik av samtal och SMS i den nedladdningsbara filen man kan hämta från Facebook. Det Facebook använder dessa uppgifter till är att förbättra sin algoritm, för att ännu enklare hitta personer du kan tänkas vilja lägga till som vänner på Facebook. Dock verkar det som att Facebook enbart lyckats hämta dessa uppgifter från de som använder en Android-enhet. De som kör Apple verkar sluppit detta, då de ju ofta har en hårdare policy för vad de ger tillverkare tillgång till. För en gångs skull kan man ha stor nytta av att Apple ofta låser in sig i sin egen värld och inte släpper in några andra där.

Tydligen ska den information Facebook fått tillgång till även inkludera hur långa samtal vi haft med olika personer. Det kan man ju verkligen fråga sig vad de ska göra med den informationen.

För Facebook blir detta såklart ytterligare ett hårt bakslag, då de ännu inte hämtat sig från skandalen med Cambridge Analytica, som kommit över information från 50 miljoner användare av det sociala mediet. Du kan läsa Teknikfreaks reflektion efter denna skandal här. I artikeln får ni även tips på hur man ska tänka för att kunna känna sig säkrare på Facebook.

Är detta bara en i raden av alla skandaler och hemligheter som inte är avslöjade om Facebook än? Ja, man kan ju helt klart börja undra. De sitter ju helt klart på mängder med känslig information om sina användare. Det gäller att de skärper sig och inte hamnar mer i blåsväder nu, för då tror jag det är risk att man kan tappa ännu fler användare. Vi som använder Facebook är ju deras allra viktigaste del, så det gäller att de sköter detta snyggt nu. Nu är det upp till bevis, Facebook!

Ny funktion till 1Password kollar om ditt lösenord blivit stulit tidigare

Lösenord

Nu har det kommit en ny fiffig funktion till lösenordsprogrammet 1Password. Funktionen innebär att programmet kan kolla så att dina lösenord inte tidigare blivit stulna vid en dataläcka. Tjänsten kallas för Pwned Passwords och jämför alla nya lösenord, som knappas in med en jättestor databas på en en halv miljard. Databasen med lösenord har utvecklaren Troy Hunt samlat på sig vid olika läckor på nätet.

Tjänsten går att använda även om du inte kör 1Password, då den också finns som en fristående tjänst.

Troy Hunt säger så här till The Verge:
”Skriv inte in ett lösenord du använder i en tredjepartstjänst som den här! Jag loggar dem inte och jag är en pålitligt kille, men ja, gör det inte. Meningen med den webbaserade tjänsten är för att människor som har gjort sig skyldiga till att använda dåliga lösenord ska få verifierat att de inte borde göra det igen”.

I videoklippet nedan kan ni se hur funktionen funkar.

Läs gärna våran tidigare artikel om hur man skapar ett säkert lösenord.

Allvarlig bugg upptäckt i WordPress 4.9.3

Wordpress

En allvarlig bugg har upptäckts i version 4.9.3 av publiceringssystemet WordPress. Felet innebär att den automatiska uppdatering, som annars löser sig av sig själv, inte gör det. Risken finns därför att man blir kvar i en gammal version av WordPress, som ofta uppdateras pga. de många säkerhetshoten, som ofta drabbar WordPress-siter.

Hur ska jag göra om jag kör WordPress 4.9.3?

Logga in i eran admin och klicka på texten “WordPress 4.9.4 är tillgängligt! Vänligen uppdatera nu.”. Den bör dyka upp som en notis allra längst upp på sidan när ni är inloggade. Annars kan ni hitta den under menyvalet Panel- Uppdateringar.

Uppdatera WordPress

Vad är WordPress?

WordPress är ett så kallat CMS-system. CMS står för Content Management System. Systemet är skrivet i PHP och använder databasen MySQL. Det är gratis att ladda ner och använda WordPress. Idag är det ett av de populäraste publiceringssystemen på marknaden och används på tusentals bloggar och webbplatser.

Tack vare olika tillägg och teman går det anpassa fritt såsom man vill. Det går att använda helt utan att kunna programmering. Kan du programmering går det å andra sidan anpassa ännu mer enligt de önskemål man har. Ett mycket flexibelt system, som rekommenderas!

Så här går det till när någon kapar din e-postadress

Kapad e-postadress

Har ni eller någon bekant blivit drabbad av att e-posten har blivit hackad där det har skickats ut frågan om akut behov av pengar? Syrran blev drabbad och genom lite efterforskning så är dessa personer hyfsat smarta och förstår hur vi fungerar.

Hur går det till? På något sätt kommer en person över lösenordet in på ens e-postkonto. Det finns olika vägar att gå och inget jag tänker gå in på här. När man väl är inne på ett e-postkonto så börjar man med att skapa ett snarlikt konto hos en annan mailtjänst. T.ex. om man har marta.muskel@hotmail.com så skapar man en adress via mail.com som är marta.muskel@mail.com, dessa två är snarlika och inget man direkt reagerar på i första taget.

Det första de gör är troligtvis att de går in och lägger en vidarebefodran på alla inkommande e-post på din mailadress, utan att spara en kopia på servern. När det är gjort så går man in och skickar iväg e-post där man är i akut pengabehov till alla i ens adressbok. Genom att man har vidarebefodran på först så kommer all felaktiga e-postadresser skickas vidare till den nya adressen och du får aldrig ta del av dessa. Sen går man in och raderar all e-post i inkorgen, utkorgen, papperskorgen och raderar alla dina kontakter för att sopa igen alla spår. Raderingen av kontakter är för att du inte ska snabbt kunna skicka ut e-post till alla som säger att du blivit drabbad.

Nu gör man inget mer än att sitta och vänta på att man får ett svar på att någon vänlig kan hjälpa till och skicka över pengarna. Byter man inte lösenord när man väl tagit sig in? Nej, det är det som gör det så smart. Det som sker är att du inte får någon e-post förens någon ringer dig och frågar vad du gör i ett visst land. Så detta kan pågå flera timmar innan du vet att du har blivit drabbad. Byter man lösenord så kommer troligtvis din telefon klaga om du har e-posten i telefonen, då den inte kan kontakta inkommande mailserver. Detta kan ske flera gånger i timmen och man skulle snabbt reagera på att det är något fel och troligtvis därför de låter bli att byta lösenordet.

Hur ska man gå tillväga om man får ett sådant mail?

Ring alltid! Skickar du e-post om att det är suspekt så kommer de och prova övertala dig, mailet vidarebefodras ju till en ny adress där någon person tar emot och svarar. De är snabba och genom att svara så började jag förstå hur de gör när man får svar fast lösenordet är bytt. Personen kan ju inte skicka en kopia på passet för att verifiera att det är rätt, det är ju borta och det skriver de tydligt. Så att du måste förlita dig att det stämmer om du nu inte är klok och ringer.

Vad behöver den som blir drabbad göra?

Jag skulle säga att det finns 3 steg som man behöver göra. Ring och be personen göra följande:

1) Gå in och stänga av ev. vidaresändning av e-post.
2) Byt lösenord.
3) Lägg ett tidsbegränsat autosvar som säger att du blivit drabbad och att du inte är i akut kris. Varför inte börja byta lösenord? Det är viktigare att alla e-postsvar kommer till dig, för att du ska veta hur många det är som ev. kan tänkas gå på bluffen. Skickar man e-postsvar så kommer de vara snabba på att svara dig från den nya adressen. Genom att klippa att ingen mer e-post skickas till dessa figurer, så har man stängt ner alla möjligheter att någon ska kunna bli övertalad och lurad i denna bluff. Om man har flera konton efter pengafiskning igång så kan inte de ligga och ha koll på att du tagit bort vidarebefodringen, därför bör man stänga av detta först innan man går in och byter lösenord.

Genom att lägga autosvar så kommer alla som skickar e-post se att du har blivit drabbad av något och du behöver inte svara alla personer som vill vara snälla och skicka e-post till dig om att du blivit drabbad… för du kommer ju inte se detta förens vidarebefodran är avstängd. Så att får du e-post ifrån en bekant som är i akut pengabehov, vad gör du? Ring… Ring… Ring…

Svarar inte personen på telefon, prova kontakta någon släkting för att verifiera var personen befinner sig och skicka inga pengar förens du har pratat med personen eller någon släkting.

Det kan vara bra att polisanmäla händelsen, även om de inte kan göra något. Min sponta tanke är om det kommer en e-postfaktura som försvinner iväg och man får betalningspåminnelser m.m. Då kan det vara skönt att visa upp att man blivit drabbad med en polisanmälan.

Ny version av iOS ute- denna gång 11.2.5

iOS 11

Då har det på nytt blivit dags för en ny version av iOS för din iPhone, iPad och iPod Touch. Denna gång heter versionen 11.2.5 och har kunnat betatestas under en längre tid, men finns nu alltså i en skarp version.

Hur uppdaterar jag till den senaste versionen av iOS? Se våran guide.

Precis som vanligt är det mycket buggar och säkerhetsfixar, som har gjorts i den senaste versionen av iOS. Om du vill veta exakt vilka andra saker som är nya kan du ta del av dem nedan. Vi har hämtat dem från dokumentationen.

  • Stöd för Homepod. Ställ in och överför automatiskt dina inställningar för Apple–ID, Apple Music, Siri och Wi-Fi till HomePod.
  • Siri News. Siri kan nu läsa upp nyheterna om du befinner dig i i USA, Storbritannien eller Australien. Säg bara ”Hej Siri, läs upp nyheter”. Du kan även be om specifika nyhetskategorier, till exempel sport, finans och musik.
  • Åtgärdar ett problem som kunde leda till att appen Telefon visade ofullständig information i samtalslistan.
  • Korrigerar ett problem som gjorde att Mail-notiser från vissa Exchange-konton försvann från låsskärmen när Iphone X låstes upp med Face ID.
  • Åtgärdar ett problem som kunde göra att konversationer i Meddelanden temporärt visades i fel ordningsföljd.
  • Korrigerar ett problem i Carplay där reglagen för Spelas nu slutade fungera efter flera spårändringar.
  • Gör det möjligt för Voiceover att läsa upp uppspelningsdestinationer och Airpod-batterinivå.
  • Diverse säkerhetsfixar.

Viktigt att uppdatera till senaste WordPressversionen

Wordpress

Nu gör en allvarlig bugg i publiceringsverktyget WordPress att hackare kan ta sig in i sårbara sajter, genom en så kallad SQL-injektion. Det var säkerhetsforskaren Anthony Ferrara som upptäckte säkerhetshålet och det verkar finnas i alla äldre versioner av WordPress. Sårbarheten ska ha åtgärdats redan en gång tidigare i september, men man misslyckades då och ska tydligen bara ha gjort saken värre. Anthony Ferrara ska ha meddelat WordPress om det misslyckade uppdateringsförsöket redan i september, men det har sedan tagit dem över en månad innan de fick ut en uppdatering som ska lösa det.

Den senaste uppdateringen för WordPress släpptes den 31:e oktober och har versionsnummer 4.8.3. Det är alltså viktigt att uppdatera din sida till denna så fort som det bara är möjligt!

Hur uppdaterar jag min WordPress-sida?

Nu för tiden är det vanligt att man har automatiskt uppdatering påslagen i WordPress och man får då bara ett mail som informerar om att uppdateringen har lösts automatiskt. Om du inte har automatisk uppdatering får du gå in och uppdatera manuellt istället.

Hur skapar man ett säkert lösenord?

Lösenord

Återkommande i tidningar så läser man om olika attacker på hemsidor och lösenord som är på vift. I och med informationsflödet på internet så kommer vi att besöka fler och fler hemsidor som kräver inloggning. Men det kan vara komplicerat att komma ihåg alla login och lösenord till sidorna, särskilt om man vill ha unika lösenord.

Jag kommer nu använda 8st olika teckenuppsättningar som jag hänvisar till nedan i texten.

[A]: 0123456789
[B]: abcdefghijklmnopqrstuvwxyz
[C]: ABCDEFGHIJKLMNOPQRSTUVWXYZ
[D]: abcdefghijklmnopqrstuvwxyz0123456789
[E]: ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789
[F]: AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz
[G]: AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789

För ett lösenord som består av 4st siffror [A] finns totalt 10000st olika kombinationer. Om vi utgår från [B] eller [C] så finns det 456 976st kombinationer. Väljer vi att blanda siffror och bokstäver ([D] och [E]) så är vi uppe i 1,6 miljoner kombinationer. [F] och [G] så har vi ytterligare kombinationer. Som ni kan förstå så kommer det att ta längre tid att komma på lösenordet om vi blandar siffror och bokstäver enligt [F] och [G], mot [A] till [E].

Vi kan prova ett lösenord mot en tjänst på nätet som räknar ut hur fort det går att hitta rätt lösenord och utgår ifrån lösenordet ”zae9” så tar det mindre än 1 sekund att testa sig fram till detta lösenord. Väljer man att blanda in en stor bokstav ”zAe9” så lägger man på en parameter som en ev. hackare behöver ta hänsyn till för hitta lösenordet. Nu tar det strax över sekunden, bara genom att byta ut en liten bokstav till en stor.

Vi kan enkelt konstatera att ett lösenord på 4:a tecken inte är särskilt säkert, oavsett om vi blandar stora och små tecken med siffror om man skriver ett lite program som går igenom teckenkombination för teckenkombination. Tvingas vi till 4:a tecken som pinkoder och annat, så behöver man komplettera med att man har ett visst antal försök på sig innan man låser kontot helt eller under en viss tid.

Vad händer om vi utökar till flera tecken?

Vi lägger till ett ”q” till vårt lösenord ”zAe9q” och vi har utökat tiden till runt 1 minut och 21 sekunder. Inte ens 5 tecken tar någon längre tid att knäcka med nyare datorer. Tar vi lösenordet ”zAe9q7” så är vi nu faktiskt uppe i 1 timme, 23 minuter och 27 sekunder. Så från att gå ifrån 4 tecken till 6 tecken, så har vi utökat antalet kombinationer och gått från 1 sekund till över 1 timme. Ju längre man får jobba med att knäcka ett lösenord desto mindre intressant är det att ge sig på dom.

Det är väl bra? Det kan vara bra om vi slumpar vårt lösenord, eftersom vissa använder sig av en teknik där man samlat ihop vanliga kombinationer i en databas och börjar testa lösenorden mot en databas. Funkar inte det så testar man tecken för tecken i en så kallade Brute Force-attack, där man går igenom alla tänkbara teckenkombinationer.

Ibland så kan det vara svårt att komma ihåg en slumpat lösenord. Vi testar och tar ett ord eller ett företag. I detta fall testar vi med ”Fiat” så tar det över 1 sekund att hitta det, ungefär som ett slumpat ord. Lägger vi till ”en” till lösenordet så får vi ”enFiat” så tar det lite över 29 minuter eftersom vi har nu 6 tecken med alla kombinationer. Vårt tidigare lösenord så visade vi att ”zAe9q7” tog över 1½timme med lika många tecken. Vad är skillnaden? Vi har lagt till en parameter som man måste ta hänsyn till när man ska knäcka lösenord och det är siffror.

Vi börjar leka lite med att ta ett fabrikat och en modell istället, det är nästan lika lätt som att bara komma ihåg ett fabrikat. I mitt fall väljer jag ”Fiat126” som lösenord och det tar då upp till 2 dagar att komma fram om man går igenom alla tecken, stora och små tillsammans med siffror. Börjar man med bokstaven a och fortsätter upp till z så kommer man inse att ”Fiat126” borde vara snabbare att hitta än ”Zzzz126” och därför är det osäkert att ange en exakt tid. Är lösenordet “Zzzz126” snabbare att hitta “Aaaa126”? Det beror på om jag valt att gå från Z till A eller A till Z när jag skrivit min kod för att knäcka lösenordet.

Men för den som känner mig och vet att jag gillar Fiat och modellen 126:an gör det lätt att gissa, då man kanske enbart behöver göra några försök ”fiat126” eller Fiat126”. Så att använda lösenord som är förknippat med en själv tar tid för någon utomstående att knäcka, medan vänner och bekanta som känner en har det lättare. Här är det vanligt att man testar familjemedlemmar, intressen och födelsedagar. Därför bör sådant undvikas om man vill behålla information för sig själv för ens bekanta.

Nu har jag visat lösenorden när man kommer till bokstäver och siffror, men vi har ytterligare en parameter att lägga till våra lösenord och det är vissa specialtecken. Kompletterar vi vårt lösenord med ett specialtecken till ”Fiat126!” så kommer lösenordet ta upp mot 14 år att gå igenom. Vi har inte förändrat nämnvärt svårighetsgraden på vårt lösenord att komma ihåg, vi har en bil, modell som består av siffror och ett utropstecken i detta fall som ett specialtecken. Byter vi modell till ”Fiat1800!” så har vi lagt till ett tecken som gör att det tar ännu längre tid att gå igenom möjliga kombinationer eftersom för varje tecken vi lägger till så tar det längre tid och kombinationerna ökar drastiskt. Översätt ”Fiat” till ”rövarspråket” så får vi lösenordet ”Fofiatot126!” som då blir 12 tecken långt istället för 8, och tidsmässigt gått från år till millenium.

Man kan även tänka sig att man byter ut olika bokstäver mot siffror. Tar man ordet ”Siffror” så kan vi byta ut ”i” mot ”1” och ”o” mot ”0” (nolla) så får vi lösenordet ”S1ffr0r” som då tar över 3 dagar att hitta. Vi byter ut ”i” mot ”!” där man kan tänka sig ett upp och nedvänt i så är vi genast upp på över 1 månad att hitta lösenordet. Små kluriga förändringar som gör att det tar längre tid att prova knäcka lösenord.

När man kommer till användandet av specialtecken så är det viktigt att ni tänker på att de går att nå ifrån er smartphone, så välj specialtecken med omsorg så ni inte utesluter att kunna logga in från en mobiltelefon.

Hur kan vi bygga säkrare unika lösenordskombinationer?

Eftersom vi inte vet hur olika webbsidor sparar ner lösenorden i en databas så kan vi inte vara säkra på hur lösenorden hanteras. Det bästa är att ha unika lösenord som bara fungerar på respektive hemsida där den ska användas. När man krypterar ett lösenord så brukar man använda sig av SALT för att lägga till flera tecken till lösenordet, innan det krypteras och det såg vid tidsmässigt vara en fördel ovan. Mitt lösenord ”Fiat126!” skulle få lite extra “SALT” och kanske krypteras som ”Fiat126!Velomobile”. Vi går från 8 tecken till 18 tecken och databasen blir mycket jobbigare att knäcka tills man hittat “SALT”-ordet.

SALT:et syns inte för användaren, men det hjälper till att göra lösenordet unikt i databasen, eftersom mitt SALT är ”Velomobile” och det blir då 10st tecken extra. Bara ordet ”Velomobile” tar upp till 7 år att hitta, lägg då till ditt egna lösenord.

Om alla skulle använda samma system för att kryptera lösenordet så skulle alla som har samma lösenord få samma krypteringssträng och då är vi tillbaka på ruta ett. Det är viktigt för webbutvecklare att utnyttja olika SALT på olika hemsidor. Allt för att försvåra om databasen kommer i orätta händer. Jag som utvecklar är egentligen ointresserad av om någon har ”Fiat126!” eftersom jag förhoppningsvis krypterar och SALT:ar lösenordet först och jämför mot databasen där lösenordet är undansparat krypterat och det ät det jag är intresserad av att det ska matcha.

Vi kan även använda unika SALT när vi ska fundera ut egna lösenord. Om vi tar t.ex. en inloggning på Facebook så kan vi utnyttja förkortningar och årtal för att SALT:a lösenordet. T.ex. kan vi förkorta Facebook med ”FB” och lägga till när ens ena barn är fött. Vi tar ett valfritt grundord t.ex. ”fiat” och lägger till ”FB” och ”02” och få ut lösenordet ”fiatFB02”. Tar vi inloggning till Aftonbladet så kan det då bli ”fiatAB02”. Vi har nu två lösenord som bygger på ett system som kombinerar versaler och gemener tillsammans med siffror och då 218 triljoner kombinationer per lösenord. Dagens datorer har dock gått igenom alla varianter och hittar det på lite över 7 månader. Komplettera det med ett specialtecken ”fiatAB02!” så har vi ett lösenord som jag inte kommer att hitta under min livstid när artikeln skrevs.

Genom att komma på egna system an vi börja använda unika lösenord på varje sida. Vi behöver bara komma ihåg ett grundord, del utav namnet på sidan och kanske ett årtal. Vill man så kan man byta ut Facebook till ”F8” och Aftonbladet till ”A11” för att inte göra en så tydlig koppling till Facebook och Aftonbladet. Våra lösenord blir då ”fiatF802” och ”fiatA1102”. Kommer ni på var ”F8” och ”A11” kommer ifrån? Tips, räkna bokstäver i företagsnamnet…

Man kan även tänka sig att man använder ett mumbojumbo grundord, t.ex. ”Fvddfmidmo”. Svårt att komma ihåg för den ovana, men kan man texten till Carolas “Främling” så är det första bokstaven i varje ord. Skriv på en lapp “Främling” och lägg på skrivbordet för att komma ihåg, ingen kommer veta var och hur långt du har valt. Kan dock bli lite lustigt om man sitter och nynnar för kollegorna på “Främling” när man ska logga in… eller varför inte ta en favoritdikt eller bibelcitat.

Kommer man över flera databaser med lösenord där inte lösenorden är krypterade så kommer man kunna hitta systemet, men idag så har de flesta seriösa sidor sina lösenord krypterade på något sätt i deras databas och därför bör det kunna fungera med grundord och kombinationer av vilken sida man ska logga in på.

Problemet med att vissa företag tvingar användare att byta lösenord varannan månad gör att man får svaga lösenord. Normal förfarande så använder man samma grundord, sen lägger man på ett löpnummer. ”Fiat1”, blir ”Fiat2” och tillslut så kommer jag veta att ”Fiat3” är det som jag testar om ”Fiat2” har slutat att fungera. Genom att jag har ett system med minst 8-10 tecken, där jag utnyttjar stora och små bokstäver, kombinerat med siffror och specialtecken, kommer göra lösenordet mer svårknäckt än att jag ska behöva byta det 6ggr om året.

Kan man se hur säkerheten fungerar på hemsidor och om lösenordet krypteras?

En sida som skickar ut ett glömt lösenord i klartext kan man räkna ut själv att de är sparade okrypterade, eftersom krypteringen bör vara av sådan typ att den inte går att dekryptera. Dessa sidor bör ni välja helt unika lösenord som inte följer något system, för att vara helt säkra på att inte era eventuella system kan röjas.

Om man får en begränsning hur kort/långt ett lösenord så använder man en tråkig krypteringsalgoritm. Använder sidan algoritmen SHA265 så kommer ditt lösenord bestå av 64 tecken i databasen, oavsett om ditt lösenord är 4 eller 32 tecken när det sparas ner. Därför anser jag att man inte behöver begränsa lösenordets längd mer än kanske begränsa det till 64 tecken. Men även här kan jag som webbutvecklare bara ta hand om de 64st första tecknen i min krypterade teckensträng.

Med inblick av det jag tidigare skrivit av vikten att blanda stora och små tecken, siffor och då specialtecken i sina lösenord, så är det tråkigt om man nu inte kan välja ett lösenord med specialtecken. Sidor som är begränsade till att bara utnyttja bokstäver och siffor hjälper då inte till att man kan skapa krångliga och säkra lösenord. Det borde inte ligga på systemutvecklaren att begränsa möjligheten, utan ligga i vårt intresse att skapa valfria lösenord som är unika och krångliga.

I detta med lösenord så finns det alltid ett men… Mer om det i en annan artikel som tar upp hur allt hänger ihop från webbläsare till server. Där jag kommer visa att hur krångliga och säkra lösenord faktiskt kommer att kunna vara synliga någonstans från webbläsaren tills den når servern. Både för systemägare eller om vi jagar gratis WIFI på stan.

Denna artikel är skriven av Tommy Leandersson.

WPA2-krypteringen har knäckts

WPA2 knäckt

Säkerhetsforskarna Mathy Vanhoef och Frank Piessens vid Katholieke Universiteit i Leuven, Belgien, presenterade en rapport som visar att det wifi-krypteringsprotokollet WPA2 har knäckts. Attacken har döpts till KRACK, vilket står för Key Reinstallation Attacks. Metoden bygger på ett utnyttjade av en fyrvägs så kallad ”handshake” som används för att skapa en nyckel för kryptering av trafik. Beroende på vilken handskakning som används, kan attackerna få varierande konsekvenser.

Sårbarheterna för detta finns i själva wifi-standarden, och är helt oberoende av vad det är för produkt eller implementation. Om den enhet du använder har stöd för wifi är den förmodligen drabbad, skriver forskarna. Produkten man använder måste såklart stödja WPA2-kryptering, men det gör självklart de flesta produkterna idag, om det inte är en väldigt gammal man använder.

KRACK-attacken kan användas för att stjäla känslig information såsom kreditkortsnummer, lösenord, chattmeddelanden, mail, foton m.m. Man har kunnat konstatera att attacken är särskilt förödande mot Android 6.0.

Alla routrar som finns på marknaden är i princip sårbara. Flera leverantörer som t.ex. Ubiquiti och Aruba har redan släppt uppdateringar som löser dessa buggar. Ett stort problem i sammanhanget är att många routrar inte uppdateras automatiskt, och det är väldigt sällan de får någon uppdatering alls. Förhoppningsvis kommer många tillverkare att tänka om i denna fråga framöver.