Международная конференция по информационной безопасности RSA была наполнена интересными новостями и публикациями исследований в области информационной безопасности (ИБ). В частности, бурные обсуждения вызвали данные о уязвимости Wi-Fi сетей под названием Kr00k, исследованной специалистами компании ESET.
Уязвимости Kr00k подвержены Broadcom и Cypress FullMac Wi-Fi-чипы – распространенные пользовательские устройства доступа к Wi-Fi сетям. Они встречаются в таком оборудовании, как:
- Apple iPad mini 2, Apple iPhone 6, 6S, 8, XR, Apple MacBook Air Retina 13-inch 2018;
- Google Nexus 5, 6, 6S;
- Raspberry Pi 3;
- Samsung Galaxy S4 GT-I9505, S8;
- Xiaomi Redmi 3S;
- Беспроводные маршрутизаторы ASUS RT-N12, Huawei B612S-25d, Huawei EchoLife HG8245H, Huawei E5577Cs-321;
- Точки доступа Cisco.
Это оборудование получило огромную распространенность у пользователей и несет потенциальные риски эксплуатации уязвимости Kr00k, в связи с этим эксперты группы компаний Angara сделали разбор возможных проблем.
Уязвимость эксплуатирует особенность работы чипа – переход на нулевой ключ шифрования в случае дизассоциации (явного отключения) с точкой доступа Wi-Fi. Это делает уязвимым любой алгоритм шифрования в сети WPA2 и дает доступ к информации, содержащейся в данный момент в буфере сетевой карты.
Выполненная в нужный момент времени атака дает возможность злоумышленнику получить доступ к небольшому объему любой информации, передаваемой по сети. Опасность заключается в передаче платежной или другой конфиденциальной информации - объем таких данных в буфере не превышает нескольких килобайт. Для реализации атаки злоумышленнику потребуются множественные отключения пользователя от Wi-Fi сети для получения доступа к конкретной информации.
Выпущено несколько исправлений для оборудования:
- iOS 13.2 and iPadOS 13.2 - октябрь 28, 2019
- Cisco Security Advisory 20200226 - февраль 27, 2020
- Huawei Security Notice 20200228-01 - февраль 28, 2020
Эксперты группы компаний Angara дают следующие рекомендации по защите данных от эксплуатации уязвимости Kr00k:
- Использовать IPSec, TLS, SSL и другое шифрование для критичных данных внутри передачи по Wi-Fi сетям (как правило, оно уже используется и не требует дополнительных работ от пользователя).
- Своевременно обновлять ПО оборудования.
- Наблюдать за поведением адаптера - если вы видите, что идет частое или неожидаемое отключение и переподключение к Wi-Fi сети, вполне возможно, что вы в данный момент подвержены crack-атаке. Следует отключиться от Wi-Fi сети, остановить передачу данных до выяснения причин отключений.
- Не использовать общедоступные Wi-Fi сети в местах скопления людей для передачи незащищенных конфиденциальных данных. При необходимости передачи данных – использовать дополнительное шифрование (пункт 1).