Obrázek: Wi-Fi Alliance
1Domů » Články »
Kyberbezpečnostním firmám se daří objevovat chyby v zařízeních, přičemž většinou jsou spojené s operačním systémem. Ale není to jediná oblast, které se věnují. Nyní se společnosti Eset podařilo objevit zranitelnost přímo v čipech pro Wi-Fi. Tentokrát se bezpečnostní díra netýká jen určité kategorie výrobků, dle společnosti jsou postiženy miliardy zařízení – od mobilů, přes Wi-Fi routery, až po IoT zařízení.
Kr00k chyba se týká dvou výrobců
Za objevem stojí přímo Miloš Čermák z týmu ESET Experimental Research and Detection, přičemž první detekce zranitelnosti se datuje do roku 2018. Zranitelnost získala označení Krook, je také známa jako CVE-2019-15126. Podařilo se objevit, že v čipech od firem Broadcom a Cypress se nachází chyba, kterou lze využít k získání informací, byť je zabezpečení nastaveno na WPA2-Personal a WPA2-Enterprise.
Chyba se týká případu, kdy dojde k odpojení zařízení od Wi-Fi sítě, například kvůli slabému signálu. V takovém případě dojde ke zrušení klíče relace, respektive dojde k nastavení na nuly. Po této akci by nemělo zařízení už komunikovat, ale stane se tak, přičemž bezpečnost je narušena, jelikož jsou odeslána data s velmi slabým klíčem. Útočník ale nemusí čekat, až je signál slabý, případně dojde k odpojení nebo restartování připojení. Tuto událost může pomocí jiných technik vyvolat sám útočník.
Sice nelze takto získat heslo k Wi-Fi síti, ale může využít dodatečná data získaná kvůli této chybě k jiným typům útoků. Zařízení postihnutá zranitelností Krook se tedy v určitých případech chovají tak, jakoby se používala síť bez šifrování.
Miliardy zařízení v ohrožení
Eset testoval Wi-Fi čipy i jiných společností, ale nedošlo k detekci Krook. Takto by se dalo soudit, že čipy od firem Broadcom a Cypress se budou dotýkat omezeného množství produktů, ale opak je pravdou. Společnosti patří mezi přední dodavatele a jejich produkty jsou v mnoha zařízeních. Eset konkrétně uvádí, že detekce zranitelnosti byla na zařízení:
- Amazon Echo 2nd gen
- Amazon Kindle 8th gen
- Apple iPad mini 2
- Apple iPhone 6, 6S, 8, XR
- Apple MacBook Air Retina 13 2018
- Google Nexus 5
- Google Nexus 6
- Google Nexus 6S
- Raspberry Pi 3
- Samsung Galaxy S4 GT-I9505
- Samsung Galaxy S8
- Xiaomi Redmi 3S
Eset již informoval o chybě, přičemž již byly vydány aktualizace pro některé zařízení. Firma konkrétně uvádí, že zranitelnost byla opravena například v iOS 13.2 a iPadOS 13.2 (28. října 2019), macOS Catalina 10.15.1 (Aktualizace zabezpečení 2019-001 a Aktualizace zabezpečení 2019-006 – 29. října 2019). I další společnosti již začínají vydávat aktualizace, ale nevíme, jak je to u systému Android.
Pro mobilní telefony bude vydána oprava, ale otázkou je, jak rychlí budou výrobci. Největší problém se ale týká levnějších zařízení, třeba Wi-Fi přístupových bodů nebo IoT zařízení, kde aktualizace nejsou moc běžné. Vzhledem k rozšířenosti čipů obsahující tuto zranitelnost, je počet zařízení vskutku velký.
Zdroje: phonearena.com, welivesecurity.com
Domů » Články »
Kugoo KIRIN S1 elektrokoloběžka v akci! [sponzorovaný článek]
Samsung začíná vyrábět 16GB RAM pro mobily
Stiknutím klávesy J se přesunete na starší článek, klávesa K vás přesune na novější.
💡 Získejte Dotekománie Premium a využijte web naplno.
Hakus von Tyros
27. 2. 2020, 10:16Dobrá inormace.