Se descubrió una grave vulnerabilidad en los chips de Wi-Fi que afecta a miles de millones de dispositivos en todo el mundo, según los investigadores. Permite a los atacantes espiar las comunicaciones por Wi-Fi.
El error (CVE-2019-15126) se deriva del uso de una clave de cifrado totalmente cero en chips fabricados por Broadcom y Cypress, según los investigadores de ESET, que da como resultado el descifrado de datos. Esto rompe los protocolos de seguridad WPA2-Personal y WPA2-Enterprise.
Los chips vulnerables se encuentran en teléfonos inteligentes, tabletas y computadoras portátiles (con silicio Broadcom) y en dispositivos IoT (chips Cypress), incluidas varias generaciones de productos de Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus ), Samsung (Galaxy), Frambuesa (Pi 3), Xiaomi (RedMi). ESET también descubrió que el error estaba presente en los puntos de acceso (AP) y enrutadores de Asus y Huawei. En total, más de mil millones de dispositivos están afectados, estimaron los investigadores.
ESET denominó la vulnerabilidad «KrØØk» para incorporar los ceros, y también porque está relacionado con el ataque KRACK , también conocido como Ataques de reinstalación clave, descubierto en 2017. El enfoque KRACK era un problema de toda la industria en los protocolos WPA y WPA2 para proteger Wi- Fi que podría causar una «pérdida completa de control sobre los datos», según ICS-CERT. Explicó en un aviso en ese momento que KRACK «podría permitir que un atacante ejecute un ataque ‘man-in-the-middle’, permitiendo al atacante dentro del alcance de la radio reproducir, descifrar o falsificar tramas».
Según ESET, “[encontró] que KrØØk es una de las posibles causas detrás de la ‘reinstalación’ de una clave de cifrado totalmente cero, observada en las pruebas de ataques KRACK. Esto siguió a nuestros hallazgos anteriores de que Amazon Echo era vulnerable a KRACK ”, dijeron los investigadores en un informe sobre la falla, emitido el miércoles en la RSA Conference 2020.
Cómo funciona KrØØk
En Wi-Fi, cada vez que un dispositivo se conecta a un punto de acceso (AP), eso se denomina asociación. Cuando se desconecta (por ejemplo, cuando una persona deambula de un punto de acceso Wi-Fi a otro, experimenta interferencia de señal o apaga el Wi-Fi en el dispositivo), esto se denomina disociación.
«KrØØk se manifiesta después de una disociación», explicaron los investigadores de ESET. “[Una vez que se produce la disociación], la clave de sesión almacenada en el chip de Wi-Fi del Controlador de interfaz de red inalámbrica (WNIC) se borra en la memoria, configurada en cero. Este es el comportamiento esperado, ya que se supone que no se transmitirán más datos después de la disociación. Sin embargo, descubrimos que todas las tramas de datos que quedaron en el búfer de transmisión del chip se transmitieron después de encriptarse con esta clave de cero «. Debido a que utiliza todos los ceros, este «cifrado» en realidad resulta en que los datos se descifran y se dejan en texto plano.
El camino del ataque es simple: las asociaciones y las disociaciones se rigen por marcos de administración, que no están autenticados ni cifrados, explicó ESET. Para explotar el error, un adversario puede simplemente desencadenar manualmente una disociación mediante el envío de un marco de datos de gestión diseñado, y luego podrá recuperar la información de texto sin formato que queda en el búfer.
En una sesión sobre los hallazgos en RSAC, el investigador de ESET Steve Vorencik dijo que KrØØk puede exponer hasta 32 KB de datos a la vez, lo que equivale a alrededor de 20,000 palabras. Un atacante puede enviar una serie de marcos de gestión para desencadenar el ataque de manera continua y comenzar a recopilar datos, que pueden ser contraseñas, información de tarjetas de crédito o cualquier otra cosa que el usuario pueda enviar a Internet a través de Wi-Fi.
«Las escuchas pueden ser activas o pasivas», dijo Vorencik. “Lo que escuchan depende del momento de lo que está haciendo el usuario. Podrías esperar a que surja algo interesante, y siempre pasa algo ”.
El ataque puede magnificarse cuando un AP vulnerable está involucrado en la mezcla. Por ejemplo, escuchar un centro de hogar inteligente puede recuperar cualquier información enviada entre él y los dispositivos satelitales, como un timbre conectado, un termostato inteligente o luces inteligentes, o computadoras portátiles, computadoras y dispositivos móviles. Los investigadores de ESET explicaron que esto permite a los atacantes espiar incluso dispositivos cliente no afectados o ya parcheados.
«Esto aumenta enormemente el alcance del ataque», explicó Vorencik. «Un atacante solo necesita enviar un marco de administración al AP y luego puede obtener acceso a todo el entorno».
En una demostración, Vorencik y su compañero investigador de ESET Robert Lipovsky demostraron que KrØØk podría usarse para recuperar contraseñas para dispositivos no vulnerables conectados a un AP «KrØØk-ed», lo que permite pwning para toda la casa u oficina.
ESET reveló de manera responsable el error y permitió un período de gracia de 120 días para que Broadcom y Cypress creen actualizaciones de firmware, y para que los fabricantes tengan tiempo de usarlas para crear actualizaciones de SO, parches y actualizaciones de firmware para implementar a los usuarios finales. Según ESET, los principales fabricantes han lanzado correcciones, y los usuarios deberán actualizar sus dispositivos para garantizar que las comunicaciones desde sus dispositivos Wi-Fi no puedan ser pirateadas y escuchadas fácilmente.
El total de más de mil millones de dispositivos afectados es «una estimación conservadora», según el documento de ESET, porque KrØØk probablemente no se limita solo a los dispositivos que la compañía probó. «Nuestros resultados no son de ninguna manera exhaustivos», dijo Lipovsky en RSAC, y agregó que los equipos Qualcomm y MediaTek no eran vulnerables.
