Στη διάσκεψη για την ασφάλεια RSA 2020 στο Σαν Φρανσίσκο, οι ερευνητές ασφαλείας της σλοβακικής εταιρείας ESET θα παρουσιάσουν λεπτομερώς ένα νέο σφάλμα που επηρεάζει τις επικοινωνίες WiFi. Ένας χάκερ μπορεί να εκμεταλλευτεί αυτό το σφάλμα που ονομάζεται Kr00k, έχοντας ως στόχο να διακόψει και να αποκρυπτογραφήσει την κίνηση δικτύων WiFi. Σύμφωνα με την ESET, το Kr00k επηρεάζει όλες τις συσκευές που χρησιμοποιούν Broadcom και Cypress Wi-Fi chips. Αυτά είναι δύο από τα πιο δημοφιλή chipsets WiFi στον κόσμο και περιλαμβάνονται σχεδόν παντού, από φορητούς υπολογιστές έως smartphones και από σημεία πρόσβασης σε έξυπνα ηχεία και άλλες συσκευές IoT. Οι ερευνητές της ESET δήλωσαν ότι εξέτασαν και επιβεβαίωσαν ότι το σφάλμα Kr00k επηρεάζει συσκευές των Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3) και Xiaomi (Redmi) αλλά και σημεία πρόσβασης των Asus και Huawei.
Επιπλέον, η ESET δήλωσε ότι περισσότερες από ένα δισεκατομμύριο συσκευές είναι ευάλωτες στο σφάλμα Kr00k, τονίζοντας μάλιστα πως πρόκειται για μία “συντηρητική εκτίμηση”, καθώς ο αριθμός υπολογίζεται ότι είναι πολύ μεγαλύτερος στην πραγματικότητα.
Τί είναι όμως το Krook; Tο Kr00k είναι ένα σφάλμα όπως πολλά άλλα σφάλματα που ανακαλύπτονται καθημερινά στο λογισμικό που χρησιμοποιούν όλοι. Η διαφορά είναι ότι το Kr00k επηρεάζει την κρυπτογράφηση που χρησιμοποιείται για τη διασφάλιση των πακέτων δεδομένων που αποστέλλονται μέσω μιας σύνδεσης WiFi.
Συνήθως, αυτά τα πακέτα είναι κρυπτογραφημένα με ένα μοναδικό “κλειδί” που εξαρτάται από τον κωδικό πρόσβασης WiFi του χρήστη. Ωστόσο, οι ερευνητές της ESET λένε ότι για τα Broadcom και Cypress Wi-Fi chips, αυτό το “κλειδί” χάνει την αξία του κατά τη διάρκεια μίας διαδικασίας που ονομάζεται “αποσύνδεση”. Η “αποσύνδεση” είναι κάτι που συμβαίνει φυσικά σε μια σύνδεση WiFi. Αναφέρεται σε προσωρινή αποσύνδεση που συμβαίνει συνήθως λόγω χαμηλού σήματος WiFi. Οι συσκευές WiFi εισέρχονται σε κατάσταση αποσύνδεσης πολλές φορές μέσα στην διάρκεια μιας μέρας, ενώ όταν συμβαίνει αυτό, ρυθμίζονται αυτόματα για να συνδεθούν ξανά στο δίκτυο που είχε χρησιμοποιηθεί στο παρελθόν. Οι ερευνητές της ESET λένε ότι οι χάκερς μπορούν να θέσουν τις συσκευές σε μια μακρά κατάσταση αποσύνδεσης, να λάβουν πακέτα WiFi που προορίζονται για την συσκευή που δέχεται την επίθεση και στη συνέχεια να χρησιμοποιήσουν το σφάλμα Kr00k για να αποκρυπτογραφήσουν την κίνηση του WiFi. Με αυτόν τον τρόπο οι χάκερς μπορούν να διακόψουν και να αποκρυπτογραφήσουν τα πακέτα WiFi, που υπό κανονικές συνθήκες θεωρούνται ασφαλή.
Ένα θετικό είναι ότι το σφάλμα Kr00k επηρεάζει μόνο τις συνδέσεις WiFi που χρησιμοποιούν πρωτόκολλα ασφάλειας WPA2-Personal ή WPA2-Enterprise με κρυπτογράφηση AES-CCMP. Αυτό σημαίνει ότι εάν κάποιος χρησιμοποιεί συσκευή με chipset Broadcom ή Cypress WiFi, μπορεί να προστατευτεί από hacking επιθέσεις χρησιμοποιώντας το νεότερο πρωτόκολλο επαλήθευσης WiFi, το WPA3.
Υπολογίζεται ότι patches είναι ήδη διαθέσιμα για τις περισσότερες συσκευές. Επιπλέον, η ESET έχει εργαστεί επί μήνες για να αποκαλύψει υπεύθυνα το σφάλμα Kr00k στις Boadcom, Cypress και σε όλες τις άλλες εταιρείες που επηρεάζονται. Σύμφωνα με τους ερευνητές της ESET, οι συσκευές θα πρέπει να έχουν ήδη λάβει patches για το σφάλμα. Ανάλογα με τον τύπο της συσκευής, αυτό μπορεί να σημαίνει μόνο την εγκατάσταση του τελευταίου λειτουργικού συστήματος ή των ενημερωμένων εκδόσεων λογισμικού (συσκευές Android, Apple και Windows, μερικές συσκευές IoT), αλλά μπορεί να απαιτείται ενημέρωση υλικολογισμικού.
Οι χρήστες μπορούν να ελέγξουν εάν έλαβαν patches για το σφάλμα Kr00k ελέγχοντας τον κατάλογο αλλαγών OS / firmware της συσκευής τους για επιδιορθώσεις ενάντια στο CVE-2019-15126.
Τέλος, αξίζει να αναφερθεί ότι οι χρήστες είναι πιο εύκολο να προστατευτούν από το σφάλμα Kr00k από ότι από το σφάλμα KRACK, το οποίο ήταν πολύ κρίσιμο και επηρέασε το πρωτόκολλο WiFi WPA2 αναγκάζοντας τους περισσότερους προμηθευτές συσκευών να χρησιμοποιήσουν το WPA3 από προεπιλογή. Αργότερα ανακαλύφθηκε μια νέα επίθεση KRACK, με το όνομα Dragonblood, που επηρέασε ακόμη και μερικές νεότερες συνδέσεις WPA3, αλλά δεν επηρέασε ολόκληρο το οικοσύστημα WiFi όπως έκανε η αρχική επίθεση KRACK. Τέλος, οι ερευνητές της ESET δήλωσαν ότι ανακάλυψαν το Kr00k ενώ παρατηρούσαν τα καταστροφικά αποτελέσματα της επίθεσης του KRACK.
