Муҳаққиқон аз Эсет варианти нави (CVE-2020-3702) осебпазирӣ , ба чипҳои бесими Qualcomm ва MediaTek дахл дорад. Мисли , ки ба чипҳои Cypress ва Broadcom таъсир расонидааст, осебпазирии нав ба шумо имкон медиҳад, ки трафики боздоштшудаи Wi-Fi-ро, ки бо истифода аз протоколи WPA2 ҳифз шудааст, рамзкушоӣ кунед.
Ёдовар мешавем, ки осебпазирии Kr00k дар натиҷаи коркарди нодурусти калидҳои рамзгузорӣ ҳангоми ҷудо шудани дастгоҳ аз нуқтаи дастрасӣ ба вуҷуд меояд. Дар версияи якуми осебпазирӣ, ҳангоми ҷудо шудан, калиди сессия (PTK) дар хотираи чип аз нав барқарор карда шуд, зеро дар сеанси ҷорӣ маълумоти дигар фиристода намешавад. Дар ин ҳолат, маълумоте, ки дар буфери интиқол (TX) боқӣ мондааст, бо калиди тозашуда, ки танҳо аз сифр иборат буд, рамзгузорӣ карда шуд ва мувофиқан ҳангоми боздошт ба осонӣ рамзкушоӣ карда мешуд. Калиди холӣ танҳо ба маълумоти боқимонда дар буфер дахл дорад, ки андозааш чанд килобайт аст.
Тафовути калидии версияи дуюми осебпазирӣ, ки дар чипҳои Qualcomm ва MediaTek пайдо мешавад, дар он аст, ки ба ҷои рамзгузорӣ бо калиди сифр, маълумот пас аз тақсимшавӣ, сарфи назар аз он, ки парчамҳои рамзгузорӣ насб карда шудаанд, умуман бидуни рамз интиқол дода мешаванд. Аз дастгоҳҳое, ки барои осебпазирӣ дар асоси чипҳои Qualcomm санҷида шудаанд, D-Link DCH-G020 Smart Home Hub ва роутери кушода қайд карда шуданд. . Аз дастгоҳҳое, ки ба чипҳои MediaTek асос ёфтаанд, роутери ASUS RT-AC52U ва ҳалли IoT дар асоси Microsoft Azure Sphere бо истифода аз микроконтроллери MediaTek MT3620 озмуда шуданд.
Барои истифода аз ҳарду намуди осебпазирӣ, ҳамлакунанда метавонад чаҳорчӯбаҳои махсуси идоракуниро фиристад, ки боиси ҷудошавӣ мешаванд ва маълумоти баъдан фиристодашударо боздошт мекунанд. Ҷудокунӣ одатан дар шабакаҳои бесим барои гузаштан аз як нуқтаи дастрасӣ ба нуқтаи дигар ҳангоми роуминг ё ҳангоми гум шудани алоқа бо нуқтаи дастрасии ҷорӣ истифода мешавад. Мушкилот метавонад тавассути фиристодани чаҳорчӯбаи идоракунӣ, ки бидуни рамзгузорӣ интиқол дода мешавад ва аутентификатсияро талаб намекунад (ба ҳамлагар танҳо дастрасии сигнали Wi-Fi лозим аст, аммо ба шабакаи бесим пайваст шудан лозим нест). Ҳамла ҳам вақте имконпазир аст, ки дастгоҳи муштарии осебпазир ба нуқтаи дастрасии осебнашаванда ва ҳам вақте ки дастгоҳи осебдида ба нуқтаи дастрасӣ, ки осебпазириро нишон медиҳад, дастрас мешавад.
осебпазирӣ ба рамзгузорӣ дар сатҳи шабакаи бесим таъсир мерасонад ва ба шумо имкон медиҳад, ки танҳо пайвастҳои бехатари аз ҷониби корбар муқарраршуда таҳлил карда шаванд (масалан, DNS, HTTP ва трафики почта), аммо ба шумо имкон намедиҳад, ки пайвастҳоро бо рамзгузорӣ дар сатҳи барнома вайрон кунед (HTTPS, SSH, STARTTLS, DNS тавассути TLS, VPN ва ғайра). Хавфи ҳамла инчунин бо он кам карда мешавад, ки ҳамлакунанда дар як вақт метавонад танҳо чанд килобайт маълумотро, ки дар буфери интиқол дар вақти ҷудошавӣ буд, рамзкушоӣ кунад. Барои бомуваффақият забт кардани маълумоти махфии тавассути пайвасти эмин фиристодашуда, ҳамлакунанда бояд ё дақиқ донад, ки кай фиристода шудааст, ё пайваста ҷудошавиро аз нуқтаи дастрасӣ оғоз кунад, ки ин ба корбар бинобар аз нав оғоз кардани пайвастаи пайвасти бесим аён хоҳад буд.
Мушкилот дар навсозии драйверҳои хусусӣ барои чипҳои Qualcomm ва дар моҳи апрели навсозии драйверҳо барои чипҳои MediaTek ҳал карда шуд. Ислоҳ барои MT3620 дар моҳи июл пешниҳод карда шуд. Муҳаққиқоне, ки мушкилотро муайян кардаанд, дар бораи ворид кардани ислоҳҳо ба драйвери ройгони ath9k маълумот надоранд. Барои санҷиши дастгоҳҳо барои дучор шудан ба ҳарду осебпазирӣ бо забони Python.
Илова бар ин, метавон қайд кард Муҳаққиқони Checkpoint шаш осебпазириро дар чипҳои Qualcomm DSP муайян карданд, ки дар 40% смартфонҳо, аз ҷумла дастгоҳҳои Google, Samsung, LG, Xiaomi ва OnePlus истифода мешаванд. То он даме, ки мушкилот аз ҷониби истеҳсолкунандагон ҳал нашаванд, тафсилот дар бораи осебпазирӣ дода намешавад. Азбаски чипи DSP як "қуттии сиёҳ" аст, ки онро истеҳсолкунандаи смартфон идора карда наметавонад, ислоҳ метавонад вақти зиёдро талаб кунад ва ҳамоҳангиро бо истеҳсолкунандаи чипи DSP талаб кунад.
Чипҳои DSP дар смартфонҳои муосир барои иҷрои амалиётҳо, аз қабили коркарди аудио, тасвир ва видео, дар ҳисоббарорӣ барои системаҳои афзояндаи воқеият, биниши компютер ва омӯзиши мошинҳо, инчунин дар татбиқи режими пуркунии зуд истифода мешаванд. Дар байни ҳамлаҳое, ки осебпазириҳои муайяншуда имкон медиҳанд, зикр карда мешаванд: Гузаштан аз системаи идоракунии дастрасӣ - забти номаълуми маълумот ба монанди аксҳо, видеоҳо, сабти зангҳо, маълумот аз микрофон, GPS ва ғайра. Радди хизматрасонӣ - бастани дастрасӣ ба ҳама маълумоти захирашуда. Пинҳон кардани фаъолияти зараровар - эҷоди ҷузъҳои зараровар комилан ноаён ва ҷудонашаванда.
Манбаъ: opennet.ru