Kr00k je zraniteľnosť prítomná minimálne v miliarde zariadení a podľa firmy ESET zapríčiňuje nesprávne šifrovanie časti sieťovej komunikácie takzvaným nulovým kľúčom. Útočník môže túto chybu zneužiť na odchytávanie Wi-Fi komunikácie obetí a jej následné dešifrovanie.
Zraniteľné Wi-Fi čipy sa nachádzajú v mnohých mobilných či smart zariadeniach, ale aj vo Wi-Fi prístupových bodoch (WAP) a routeroch.
Kr00k sa týka všetkých zariadení s neaktualizovanými Wi-Fi čipmi od spoločností Broadcom a Cypress. Ide o najrozšírenejšie Wi-Fi čipy používané aj v bežných zariadeniach ako sú smartfóny, tablety, počítače, IoT a podobne.
"Kr00k sa prejavuje po odpojení (disasociácií) z Wi-Fi. Ide o proces, ku ktorému dochádza často prirodzene, napríklad v dôsledku slabého Wi-Fi signálu či prepájania z jedného routeru na iný, no útočník ho dokáže spustiť aj manuálne. Ak takýto útok opakuje, môže odhaliť aj potenciálne citlivé informácie," vysvetlil Miloš Čermák, hlavný výskumník spoločnosti ESET zodpovedný za skúmanie tejto zraniteľnosti.
Spoločnosť ESET testovala a môže potvrdiť, že medzi zraniteľné používateľské zariadenia patrili:
Samsung Galaxy S8, Samsung Galaxy S4 GT-19505, Apple iPhone 6, 6S, 8, XR, Apple iPad mini 2, 13'' Apple MacBook Air Retina 2018, Amazon Echo 2. generácie, Amazon Kindle 8. generácie, Google Nexus 5, 6, 6S, Xiaomi Redmi 3S a Raspberry Pi 3. Zraniteľný bol aj router Huawei B612S-25d, Huawei EchoLife HG8245H, Huawei E5577Cs-321 a Asus RT-N12.
ESET o zraniteľnosti informoval výrobcov čipov Broadcom a Cypress, ktorí na ne vydali bezpečnostné záplaty. Spoločnosť tiež spolupracovala s konzorciom ICASI - Industry Consortium for Advancement of Security on the Internet. Zabezpečila, že o zraniteľnosti budú informované aj všetky dotknuté firmy, vrátane výrobcov používajúcich dané čipy.
Podľa informácií firmy ESET boli zaplátané všetky zariadenia popredných výrobcov. Preto je dôležité, aby ste nezabúdali na pravidelné aktualizácie systémov, vrátane firmwaru routerov alebo Wi-Fi prístupových bodov.
Zdroj: tlačová správa
Diskusia k článku: