Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť Kr00k (CVE-2019-15126), ktorá sa nachádzala vo Wi-Fi čipoch používaných v mnohých mobilných či smart zariadeniach, ale aj vo Wi-Fi prístupových bodoch (WAP) a routeroch. Kr00k je zraniteľnosť prítomná minimálne v miliarde zariadení a zapríčiňuje nesprávne šifrovanie časti sieťovej komunikácie takzvaným nulovým kľúčom. Útočník môže túto chybu zneužiť na odchytávanie Wi-Fi komunikácie obeti a jej následné dešifrovanie.

„Aby ste sa chránili pred touto zraniteľnosťou, mali by ste si aktualizovať všetky zariadenia, ktoré sa dokážu pripojiť na Wi-Fi. Aktualizáciou by mali prejsť operačné systémy aj softvér telefónov, tabletov, laptopov a zariadení označovaných ako internet vecí (IoT). Rovnako by sa používatelia mali uistiť, že používajú najnovší firmware dostupný pre ich Wi-Fi prístupový bod, router či IoT,“ odporúča Robert Lipovský, výskumník spoločnosti ESET, ktorý spolupracoval s tímom zodpovedným za odhalenie tejto zraniteľnosti.

Schéma útoku zneužívajúceho zraniteľnosť Kr00k

Schéma útoku zneužívajúceho zraniteľnosť Kr00k

Kr00k sa týka všetkých zariadení s neaktualizovanými Wi-Fi čipmi od spoločností Broadcom a Cypress. Ide o najrozšírenejšie Wi-Fi čipy používané aj v bežných používateľských zariadeniach (smartfóny, tablety, počítače, IoT a tak ďalej).

„Veľkým problémom je fakt, že sa Kr00k týka aj Wi-Fi prístupových bodov a routerov, čo výrazne zväčšuje prípadnú útočnú plochu. Útočník totiž môže dešifrovať aj údaje odosielané cez zraniteľný router do zariadenia používateľa, ktoré nemusí túto zraniteľnosť vôbec mať. Treba tiež dodať, že na Wi-Fi prístupový bod či router používateľ nemusí mať vždy dosah,“ dopĺňa Lipovský.

Spoločnosť ESET testovala a môže potvrdiť, že medzi zraniteľné používateľské zariadenia patrili:

  • Samsung Galaxy S8
  • Samsung Galaxy S4 GT-19505
  • Apple iPhone 6, 6S, 8, XR
  • Apple iPad mini 2

Značky:

Ondrej Macko

Ondrej Macko
Ako novinár pracujem už od roku 1990. Teraz sa zaoberám mobilnou komunikáciou, multimédiami a vyhotovovaním videorecenzií.

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.