Под удар поставлены планшеты, ноутбуки, умные колонки, электронные книги и роутеры. Словацкая компания ESET, специализирующаяся на кибербезопасности, обнаружила уязвимость, которая присутствовала более чем на одном миллиарде устройств с поддержкой Wi-Fi.
Более миллиарда iPhone и смартфонов Android под угрозой Уязвимость получила название Kr00k. Специалисты выяснили, что источником проблемы стали микросхемы Wi-Fi, произведённые Cypress Semiconductor и Broadcom. Отметим, что Cypress приобрела у Broadcom бизнес Wi-Fi в 2016 году.
Kr00k позволяет злоумышленнику расшифровать беспроводные сетевые пакеты, передаваемые с незащищенного устройства. При внезапном отключении устройств от Wi-Fi ключ очищается и устанавливается на 0, в то время как Kr00k не дает сделать этого: чип оставляет данные в буфере без защиты. Таким образом Kr00k может открыть брешь для утечки конфиденциальных данных пользователя.
Этим могут воспользоваться злоумышленники, в том числе и спровоцировать обрыв связи. Уязвимость затрагивает как WPA2-Personal, так и WPA2-Enterprise протоколы с AES-CCMP шифрованием.
Помимо iPhone и смартфонов Android, под угрозой оказались планшеты, включая iPad, ноутбуки, включая MacBook, умные колонки, включая Amazon Echo, умные дисплеи, электронные книги Kindle, роутеры и точки доступа Wi-Fi.
Специалисты ESET протестировали и подтвердили, что уязвимость присутствует на Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (Redmi), а также точках доступа Asus и Huawei.
По результатам тестирования оказалось, что модули Wi-Fi производства Qualcomm, Realtek, Ralink и Mediate не подвержены уязвимости Kr00k.
Как отметила ESET в своём отчёте, большинство производителей устройств уже выпустили исправления для закрытия данной уязвимости. Пользователям стоит проверить наличие свежего ПО для устройств и установить его.