Mpikaroka avy any Eset variana vaovao (CVE-2020-3702) amin'ny vulnerability , azo ampiharina amin'ny chips Wireless Qualcomm sy MediaTek. TOY , izay nisy fiantraikany tamin'ny chips Cypress sy Broadcom, ny vulnerability vaovao dia mamela anao hamadika ny fifamoivoizana Wi-Fi voasakana voaaro amin'ny alàlan'ny protocol WPA2.
Aoka hotsaroantsika fa ny vulnerability Kr00k dia vokatry ny fanodinana diso ny fanalahidin'ny fanafenana rehefa tapaka (misaraka) amin'ny teboka fidirana ny fitaovana. Ao amin'ny dika voalohany amin'ny vulnerability, rehefa tapaka, dia naverina ny fanalahidin'ny session (PTK) voatahiry ao amin'ny fitadidian'ny chip, satria tsy misy angon-drakitra hafa halefa amin'ny fotoam-pivoriana ankehitriny. Amin'ity tranga ity, ny angon-drakitra tavela ao amin'ny fifindran'ny buffer (TX) dia nofonosina tamin'ny fanalahidy efa voafafa tsy misy afa-tsy aotra ary, araka izany, dia azo fehezina mora foana mandritra ny fisamborana. Ny fanalahidy tsy misy na inona na inona dia mihatra afa-tsy amin'ny angona sisa ao amin'ny buffer, izay kilobytes vitsivitsy ny habeny.
Ny fahasamihafana lehibe eo amin'ny dikan-teny faharoa amin'ny vulnerability, izay hita ao amin'ny chips Qualcomm sy MediaTek, dia ny hoe raha tokony ho encryption miaraka amin'ny fanalahidy zero, ny angon-drakitra aorian'ny fisarahana dia alefa tsy misy encryption mihitsy, na dia eo aza ny fametrahana ny sainam-panafihana. Ny D-Link DCH-G020 Smart Home Hub sy ny router misokatra dia voamarika amin'ireo fitaovana nosedraina noho ny vulnerability mifototra amin'ny chips Qualcomm. . Amin'ireo fitaovana mifototra amin'ny chips MediaTek, ny router ASUS RT-AC52U sy ny vahaolana IoT miorina amin'ny Microsoft Azure Sphere mampiasa ny microcontroller MediaTek MT3620 dia nosedraina.
Mba hanararaotra ireo karazana vulnerabilities roa ireo, ny mpanafika dia afaka mandefa rafitra fanaraha-maso manokana izay miteraka fisarahana ary manakana ny angon-drakitra alefa aorian'izay. Ny disassociation dia matetika ampiasaina amin'ny tambajotra tsy misy tariby mba hifindra avy amin'ny teboka fidirana iray mankany amin'ny iray hafa rehefa mandehandeha na rehefa very ny fifandraisana amin'ny teboka fidirana ankehitriny. Ny fisarahana dia mety hitranga amin'ny alàlan'ny fandefasana rafitra fanaraha-maso, izay ampitaina tsy misy encryption ary tsy mitaky fanamarinana (ny mpanafika ihany no mila ny fidirana amin'ny famantarana Wi-Fi, fa tsy mila mifandray amin'ny tambajotra tsy misy tariby). Ny fanafihana dia azo atao na rehefa misy fitaovana mpanjifa marefo miditra amin'ny toeram-pidirana tsy azo ovaina, na rehefa misy fitaovana tsy misy fiantraikany miditra amin'ny teboka iray izay mampiseho faharefoana.
Ny vulnerability dia misy fiantraikany amin'ny encryption amin'ny haavon'ny tambajotra tsy misy tariby ary mamela anao hamakafaka ireo fifandraisana tsy azo antoka naorin'ny mpampiasa (ohatra, DNS, HTTP ary ny fifamoivoizana mailaka), fa tsy mamela anao hampandefitra ny fifandraisana amin'ny encryption amin'ny ambaratonga fampiharana (HTTPS, SSH, STARTTLS, DNS amin'ny TLS, VPN ary sns.). Ny loza ateraky ny fanafihana dia mihena ihany koa ny zava-misy fa amin'ny fotoana iray dia tsy afaka mamadika afa-tsy kilobytes vitsivitsy ny angon-drakitra izay tao amin'ny buffer transmission tamin'ny fotoana tapaka ny mpanafika. Mba hahazoana fahombiazana amin'ny angona tsiambaratelo alefa amin'ny fifandraisana tsy azo antoka, ny mpanafika dia tsy maintsy mahafantatra tsara ny fotoana nandefasana azy, na manomboka tsy tapaka ny fanapahana ny fidirana, izay ho hitan'ny mpampiasa noho ny famerenana tsy tapaka ny fifandraisana an-tariby.
Ny olana dia raikitra tamin'ny fanavaozana ny volana jolay ho an'ny mpamily tompona ho an'ny chip Qualcomm ary tamin'ny fanavaozana ny mpamily tamin'ny volana aprily ho an'ny chips MediaTek. Nisy fanamboarana ho an'ny MT3620 natolotra tamin'ny Jolay. Ireo mpikaroka izay namaritra ny olana dia tsy manana fampahalalana momba ny fampidirana ny fanamboarana ao amin'ny mpamily ath9k maimaim-poana. Mba hizaha toetra ny fitaovana amin'ny fihanaky ny fahalemena roa amin'ny fiteny Python.
Fanampin'izany dia azo marihina izany Ny mpikaroka avy ao amin'ny Checkpoint dia namaritra ny fahalemena enina amin'ny chips Qualcomm DSP, izay ampiasaina amin'ny 40% amin'ny finday, anisan'izany ny fitaovana avy amin'ny Google, Samsung, LG, Xiaomi ary OnePlus. Ny antsipiriany momba ny vulnerability dia tsy homena raha tsy voavahan'ny mpanamboatra ny olana. Satria ny chip DSP dia "boaty mainty" izay tsy azo fehezin'ny mpanamboatra smartphone, dia mety haharitra ela ny fanamboarana ary mitaky fandrindrana amin'ny mpanamboatra chip DSP.
Ny chips DSP dia ampiasaina amin'ny finday maoderina mba hanatanterahana asa toy ny fanodinana feo, sary ary horonan-tsary, amin'ny kajy ho an'ny rafitra zava-misy mitombo, fahitana amin'ny ordinatera sy fianarana milina, ary koa amin'ny fampiharana ny fomba fiampangana haingana. Anisan'ireo fanafihana izay avelan'ireo vulnerabilities fantatra dia voalaza: Fandalovana ny rafitra fanaraha-maso ny fidirana - fisamborana angon-drakitra tsy hita maso toy ny sary, horonan-tsary, firaketana an-telefaona, angona avy amin'ny mikrô, GPS, sns. Fandavana ny serivisy - fanakanana ny fidirana amin'ny fampahalalana voatahiry rehetra. Manafina asa ratsy - mamorona singa ratsy tsy hita maso sy tsy azo esorina.
Source: opennet.ru