数十亿设备面临Wi-Fi窃听攻击

旧金山—据研究人员称，已经发现Wi-Fi芯片中存在一个严重漏洞，影响到全球数十亿设备。 它允许攻击者窃听Wi-Fi通信。

据ESET的研究人员称，该漏洞（CVE-2019-15126）源自Broadcom和Cypress制造的芯片中使用全零加密密钥，从而导致数据解密。 这破坏了WPA2-个人和WPA2-企业安全协议。

易受攻击的芯片出现在智能手机，平板电脑和笔记本电脑（使用Broadcom芯片）和IoT小工具（赛普拉斯芯片）中，包括来自Amazon（回声，Kindle），Apple（iPhone，iPad，MacBook）和Google（Nexus）的几代产品），三星（Galaxy），树莓（Pi 3），小米（RedMi）。 ESET还发现了华硕和华为在接入点（AP）和路由器中存在的错误。 研究人员估计，总共有超过十亿个设备受到影响。

ESET将该漏洞称为“KrØØk”以合并零，也因为它与2017年发现的KRACK攻击 （也称为密钥重新安装攻击）有关。KRACK方法是WPA和WPA2协议中保护Wi-根据ICS-CERT的说法，Fi可能会导致“完全失去对数据的控制权”。 它在当时的一份公告中解释说，KRACK“可能允许攻击者执行“中间人”攻击，使攻击者能够在无线电范围内重放，解密或欺骗帧。”

根据ESET的说法，“ [it]发现KrØkk是“重新安装”全零加密密钥背后的可能原因之一，在针对KRACK攻击的测试中观察到。 研究人员在周三的RSA Conference 2020上发表的关于该漏洞的文章中说：

KrØØk如何运作

在Wi-Fi中，每当设备连接到接入点（AP）时，就称为关联。 当它断开连接时（例如，当某人从一个Wi-Fi AP漫游到另一个Wi-Fi，遇到信号干扰或关闭设备上的Wi-Fi时），这称为取消关联。

KRACK与Kr00k。 点击放大。

ESET研究人员解释说：“解散后，KrØØk出现了。” “ [一旦发生解除关联，存储在无线网络接口控制器（WNIC）的Wi-Fi芯片中的会话密钥就会清除-设置为零。 这是预期的行为，因为取消关联后不应再发送其他数据。 但是，我们发现，用此全零密钥加密后，所有留在芯片传输缓冲区中的数据帧都将被传输。” 因为它使用全零，所以这种“加密”实际上导致数据被解密并以纯文本形式保留。

攻击路径很简单：关联和解除关联由管理框架控制，这些管理框架本身未经身份验证和未加密，ESET解释说。 要利用此错误，对手可以通过发送精心制作的管理数据帧来手动手动触发解除关联，然后将能够检索缓冲区中剩余的纯文本信息。

ESET研究人员Steve Vorencik在关于RSAC的发现会议上说，KrØk可以一次公开多达32KB的数据，相当于大约20,000个单词。 攻击者可以发送一系列管理框架，以持续的方式触发攻击并开始收集数据，这些数据可以是密码，信用卡信息或用户可能通过Wi-Fi发送到互联网的任何其他内容。

“窃听可以是主动的也可以是被动的，” Vorencik说。 “他们听到的内容取决于用户执行操作的时间。 您可以等待一些有趣的事情出现，而某些事情总是如此。”

当易受攻击的AP参与混合时，攻击可能会放大。 例如，收听智能家居集线器可以检索在它与卫星设备（例如连接的门铃，智能恒温器或智能灯或便携式计算机，计算机和移动设备）之间发送的任何信息。 ESET研究人员解释说，这随后使攻击者可以窃听甚至未受影响或已打补丁的客户端设备。

Vorencik解释说：“这大大增加了攻击范围。” “攻击者只需要向AP发送管理帧，然后就可以访问整个环境。”

在演示中，Vorencik和ESET研究员Robert Lipovsky展示了KrØk可以用于检索连接到“KrØØk-ed” AP的非脆弱设备的密码，从而可以在整个家庭或整个办公室中进行伪装。

ESET负责任地披露了该错误，并为Broadcom和Cypress提供了120天的宽限期来创建固件更新-并为制造商提供了时间来使用它们来创建OS更新，补丁和固件升级，从而向最终用户推出。 据ESET称，主要制造商已经发布了修复程序，用户将需要更新其设备，以确保来自其Wi-Fi设备的通信不容易被黑客入侵和窃听。

根据ESET的论文，受影响的设备总数超过10亿是“保守估计”，因为KrØk可能不仅限于公司测试的设备。 Lipovsky在RSAC上说：“我们的结果绝不是全面的。”他补充说，高通和联发科的设备并不脆弱。

有关Threatpost的2020年RSA会议的完整报告，请访问我们的特别报道部分，位于 此处 。