นักวิจัยจาก Eset ช่องโหว่รูปแบบใหม่ (CVE-2020-3702) ใช้ได้กับชิปไร้สาย Qualcomm และ MediaTek ชอบ ซึ่งส่งผลกระทบต่อชิป Cypress และ Broadcom ช่องโหว่ใหม่ทำให้คุณสามารถถอดรหัสการรับส่งข้อมูล Wi-Fi ที่ถูกสกัดกั้นซึ่งได้รับการปกป้องโดยใช้โปรโตคอล WPA2
ขอให้เราจำไว้ว่าช่องโหว่ Kr00k เกิดจากการประมวลผลคีย์เข้ารหัสที่ไม่ถูกต้องเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อ (แยกการเชื่อมโยง) จากจุดเข้าใช้งาน ในเวอร์ชันแรกของช่องโหว่ เมื่อขาดการเชื่อมต่อ เซสชันคีย์ (PTK) ที่จัดเก็บไว้ในหน่วยความจำของชิปจะถูกรีเซ็ต เนื่องจากจะไม่มีการส่งข้อมูลเพิ่มเติมในเซสชันปัจจุบัน ในกรณีนี้ ข้อมูลที่เหลืออยู่ในบัฟเฟอร์การส่งผ่าน (TX) จะถูกเข้ารหัสด้วยคีย์ที่เคลียร์แล้วซึ่งประกอบด้วยเลขศูนย์เท่านั้น จึงสามารถถอดรหัสได้อย่างง่ายดายในระหว่างการสกัดกั้น คีย์ว่างจะใช้กับข้อมูลที่เหลืออยู่ในบัฟเฟอร์ซึ่งมีขนาดไม่กี่กิโลไบต์เท่านั้น
ข้อแตกต่างที่สำคัญระหว่างช่องโหว่เวอร์ชันที่สองซึ่งปรากฏในชิป Qualcomm และ MediaTek คือ แทนที่จะเข้ารหัสด้วยคีย์ศูนย์ ข้อมูลหลังจากการแยกตัวออกจะถูกส่งโดยไม่มีการเข้ารหัสเลย แม้ว่าจะมีการตั้งค่าสถานะการเข้ารหัสก็ตาม ในบรรดาอุปกรณ์ที่ทดสอบช่องโหว่โดยใช้ชิป Qualcomm นั้นพบว่า D-Link DCH-G020 Smart Home Hub และเราเตอร์แบบเปิดถูกบันทึกไว้ . ในบรรดาอุปกรณ์ที่ใช้ชิป MediaTek เราเตอร์ ASUS RT-AC52U และโซลูชัน IoT ที่ใช้ Microsoft Azure Sphere โดยใช้ไมโครคอนโทรลเลอร์ MediaTek MT3620 ได้รับการทดสอบ
เพื่อใช้ประโยชน์จากช่องโหว่ทั้งสองประเภท ผู้โจมตีสามารถส่งเฟรมควบคุมพิเศษที่ทำให้เกิดการแยกส่วนและสกัดกั้นข้อมูลที่ส่งในภายหลัง โดยทั่วไปแล้ว การยกเลิกการเชื่อมโยงจะใช้ในเครือข่ายไร้สายเพื่อสลับจากจุดเชื่อมต่อหนึ่งไปยังอีกจุดหนึ่งในขณะที่โรมมิ่งหรือเมื่อการสื่อสารกับจุดเชื่อมต่อปัจจุบันขาดหายไป การยกเลิกการเชื่อมโยงอาจเกิดจากการส่งเฟรมควบคุม ซึ่งจะถูกส่งโดยไม่เข้ารหัสและไม่ต้องการการรับรองความถูกต้อง (ผู้โจมตีต้องการเพียงการเข้าถึงสัญญาณ Wi-Fi แต่ไม่จำเป็นต้องเชื่อมต่อกับเครือข่ายไร้สาย) การโจมตีเกิดขึ้นได้ทั้งเมื่ออุปกรณ์ไคลเอนต์ที่มีช่องโหว่เข้าถึงจุดเชื่อมต่อที่ไม่ได้รับผลกระทบ และเมื่ออุปกรณ์ที่ไม่ได้รับผลกระทบเข้าถึงจุดเชื่อมต่อที่แสดงช่องโหว่
ช่องโหว่นี้ส่งผลต่อการเข้ารหัสในระดับเครือข่ายไร้สาย และช่วยให้คุณสามารถวิเคราะห์เฉพาะการเชื่อมต่อที่ไม่ปลอดภัยที่สร้างโดยผู้ใช้ (เช่น DNS, HTTP และการรับส่งข้อมูลเมล) แต่ไม่อนุญาตให้คุณประนีประนอมการเชื่อมต่อด้วยการเข้ารหัสในระดับแอปพลิเคชัน (HTTPS, SSH, STARTTLS, DNS ผ่าน TLS, VPN และอื่นๆ) อันตรายจากการโจมตียังลดลงด้วยความจริงที่ว่าในแต่ละครั้งผู้โจมตีสามารถถอดรหัสข้อมูลได้เพียงไม่กี่กิโลไบต์ที่อยู่ในบัฟเฟอร์การส่งข้อมูลในขณะที่ตัดการเชื่อมต่อ หากต้องการจับภาพข้อมูลที่เป็นความลับที่ส่งผ่านการเชื่อมต่อที่ไม่ปลอดภัย ผู้โจมตีจะต้องรู้แน่ชัดว่าข้อมูลถูกส่งเมื่อใด หรือเริ่มต้นการตัดการเชื่อมต่อจากจุดเข้าใช้งานอย่างต่อเนื่อง ซึ่งจะเห็นได้ชัดเจนต่อผู้ใช้เนื่องจากการรีสตาร์ทการเชื่อมต่อไร้สายอย่างต่อเนื่อง
ปัญหาได้รับการแก้ไขแล้วในการอัปเดตไดรเวอร์ที่เป็นกรรมสิทธิ์สำหรับชิป Qualcomm ในเดือนกรกฎาคม และในการอัปเดตไดรเวอร์สำหรับชิป MediaTek ในเดือนเมษายน มีการเสนอการแก้ไขสำหรับ MT3620 ในเดือนกรกฎาคม นักวิจัยที่ระบุปัญหาไม่มีข้อมูลเกี่ยวกับการรวมการแก้ไขในไดรเวอร์ ath9k ฟรี เพื่อทดสอบอุปกรณ์เพื่อหาช่องโหว่ทั้งสอง ในภาษาไพธอน
นอกจากนี้ยังสามารถสังเกตได้ นักวิจัยจาก Checkpoint ระบุช่องโหว่ 40 รายการในชิป Qualcomm DSP ซึ่งใช้กับสมาร์ทโฟน XNUMX% รวมถึงอุปกรณ์จาก Google, Samsung, LG, Xiaomi และ OnePlus รายละเอียดเกี่ยวกับช่องโหว่จะไม่ได้รับจนกว่าปัญหาจะได้รับการแก้ไขโดยผู้ผลิต เนื่องจากชิป DSP เป็น "กล่องดำ" ที่ผู้ผลิตสมาร์ทโฟนไม่สามารถควบคุมได้ การแก้ไขจึงอาจใช้เวลานานและจะต้องได้รับความร่วมมือจากผู้ผลิตชิป DSP
ชิป DSP ใช้ในสมาร์ทโฟนสมัยใหม่เพื่อดำเนินการต่างๆ เช่น การประมวลผลเสียง รูปภาพ และวิดีโอ ในการประมวลผลสำหรับระบบความเป็นจริงเสริม คอมพิวเตอร์วิทัศน์ และการเรียนรู้ของเครื่อง รวมถึงในการใช้งานโหมดการชาร์จอย่างรวดเร็ว ในบรรดาการโจมตีที่มีการกล่าวถึงช่องโหว่ที่ระบุ: การเลี่ยงระบบควบคุมการเข้าถึง - การเก็บข้อมูลที่ตรวจไม่พบ เช่น รูปภาพ วิดีโอ บันทึกการโทร ข้อมูลจากไมโครโฟน GPS ฯลฯ การปฏิเสธการให้บริการ - การปิดกั้นการเข้าถึงข้อมูลที่เก็บไว้ทั้งหมด การซ่อนกิจกรรมที่เป็นอันตราย - การสร้างส่วนประกอบที่เป็นอันตรายที่มองไม่เห็นและไม่สามารถลบออกได้อย่างสมบูรณ์
ที่มา: opennet.ru