Даследнікі з кампаніі Eset новы варыянт (CVE-2020-3702) уразлівасці , дастасавальны да бесправадных чыпаў Qualcomm і MediaTek. Як і , якому былі схільныя чыпы Cypress і Broadcom, новая ўразлівасць дазваляе дэшыфраваць перахоплены Wi-Fi трафік, абаронены з выкарыстаннем пратаколу WPA2.
Нагадаем, што ўразлівасць Kr00k выклікана некарэктнай апрацоўкай ключоў шыфравання пры адлучэнні (дысацыяцыі) прылады ад кропкі доступу. У першым варыянце ўразлівасці пры адлучэнні выконвалася абнуленне сесійнага ключа (PTK), які захоўваецца ў памяці чыпа, бо наступная адпраўка дадзеных у бягучым сеансе вырабляцца не будзе. Пры гэтым пакінутыя ў буферы перадачы (TX) дадзеныя шыфраваліся ўжо вычышчаным ключом, якія складаюцца толькі з нулёў і, адпаведна, маглі быць лёгка расшыфраваны пры перахопе. Пусты ключ ужываецца толькі да рэшткавых дадзеных у буферы, памер якога складае некалькі кілабайт.
Ключавым адрозненнем другога варыянту ўразлівасці, якая выяўляецца ў чыпах Qualcomm і MediaTek, з'яўляецца тое, што замест шыфравання нулявым ключом дадзеныя пасля дысацыяцыі перадаюцца ўвогуле не зашыфраванымі, нягледзячы на тое, што сцягі шыфравання ўсталёўваюцца. З пратэставаных на наяўнасць уразлівасці прылад на базе чыпаў Qualcomm адзначаны D-Link DCH-G020 Smart Home Hub і адчынены маршрутызатар . З прылад на базе чыпаў MediaTek пратэставаны маршрутызатар ASUS RT-AC52U і IoT-рашэнні на базе Microsoft Azure Sphere, якія выкарыстоўваюць мікракантролер MediaTek MT3620.
Для эксплуатацыі абодвух варыянтаў уразлівасцяў атакавалы можа адправіць адмысловыя кіраўнікі кадры, якія выклікаюць дысацыяцыю, і перахапіць якія адпраўляюцца следам дадзеныя. Дысацыяцыя звычайна прымяняецца ў бесправадных сетках для пераключэння з адной кропкі доступу на іншую падчас роўмінгу або пры страце сувязі з бягучай кропкай доступу. Дысацыяцыю можна выклікаць адпраўкай кіраўніка кадра, які перадаецца ў незашыфраваным выглядзе і не патрабуе аўтэнтыфікацыі (якая атакуе дастаткова дасяжнасці Wi-Fi сігналу, але не патрабуецца падлучэнне да бесправадной сеткі). Правядзенне нападу магчыма як пры звароце ўразлівай кліенцкай прылады да непаражальнай кропкі доступу, так і ў выпадку звароту не схільнага праблеме прылады да кропкі доступу, на якой выяўляецца ўразлівасць.
Уразлівасць закранае шыфраванне на ўзроўні бесправадной сеткі і дазваляе прааналізаваць толькі ўсталёўваныя карыстачом неабароненыя злучэнні (напрыклад, DNS, HTTP і паштовы трафік), але не дае магчымасць скампраметаваць злучэнні з шыфраваннем на ўзроўні прыкладання (HTTPS, SSH, STARTTLS, DNS over TLS, VPN да т.п.). Небяспека нападу таксама змяншае тое, што за раз атакавалы можа расшыфраваць толькі некалькі кілабайтаў дадзеных, якія знаходзіліся падчас адлучэння ў буферы перадачы. Для паспяховага захопу адпраўляюцца праз неабароненае злучэнне канфідэнцыйных дадзеных, атакавалы альбо павінен сапраўды ведаць момант іх адпраўкі, альбо ўвесь час ініцыяваць адлучэнне ад кропкі доступу, што кінецца ў вочы карыстачу з-за сталых перазапускаў бесправаднога злучэння.
Праблема ўхіленая ў ліпеньскім абнаўленні прапрыетарных драйвераў да чыпаў Qualcomm і ў красавіцкім абнаўленні драйвераў для чыпаў MediaTek. Выпраўленне для MT3620 было прапанавана ў ліпені. Аб уключэнні выпраўленняў у вольны драйвер ath9k у якія выявілі праблему даследнікаў інфармацыі няма. Для тэставання прылад на схільнасць абодвух варыянтаў уразлівасці на мове Python.
Дадаткова можна адзначыць даследнікамі з кампаніі Сheckpoint шасці ўразлівасцяў у DSP-чыпах Qualcomm, якія прымяняюцца на 40% смартфонаў, уключаючы прылады ад Google, Samsung, LG, Xiaomi і OnePlus. Да ўхілення праблем вытворцамі дэталі аб уразлівасцях не паведамляюцца. Бо DSP-чып уяўляе сабой «чорную скрыню», які не можа кантраляваць вытворца смартфона, выпраўленне можа зацягнуцца і запатрабуе каардынацыі прац з вытворцам DSP-чыпаў.
DSP-чыпы выкарыстоўваюцца ў сучасных смартфонах для здзяйснення такіх аперацый як апрацоўка гуку, малюнкаў і відэа, у вылічэннях для сістэм дапоўненай рэальнасці, кампутарнага зроку і машыннага навучання, а таксама ў рэалізацыі рэжыму хуткай зарадкі. Сярод нападаў, якія дазваляюць правесці выяўленыя ўразлівасці, згадваюцца: Абыход сістэмы размежавання доступу – незаўважны захоп дадзеных, такіх як фатаграфіі, відэа, запісы званкоў, дадзеныя з мікрафона, GPS і да т.п. Адмова ў абслугоўванні - блакаванне доступу да ўсёй захаванай інфармацыі. Утойванне шкоднаснай актыўнасці - стварэнне цалкам незаўважных і невыдаляльных шкоднасных кампанентаў.
Крыніца: opennet.ru