Дослідники з компанії Eset новий варіант (CVE-2020-3702) вразливості , застосовний до бездротових чіпів Qualcomm та MediaTek. Як і , якому піддалися чіпи Cypress і Broadcom, нова вразливість дозволяє дешифрувати перехоплений Wi-Fi трафік, захищений з використанням протоколу WPA2.
Нагадаємо, що вразливість Kr00k викликана некоректною обробкою ключів шифрування при від'єднанні (дисоціації) пристрою від точки доступу. У першому варіанті вразливості при від'єднанні виконувалося обнулення сесійного ключа (PTK), що зберігається в пам'яті чіпа, оскільки подальше відправлення даних у поточному сеансі не проводитиметься. При цьому дані, що залишилися в буфері передачі (TX), шифрувалися вже очищеним ключем, що складається тільки з нулів і, відповідно, могли бути легко розшифровані при перехопленні. Порожній ключ застосовується лише до залишкових даних у буфері, розмір якого становить кілька кілобайт.
Ключовою відмінністю другого варіанта вразливості, що виявляється у чіпах Qualcomm і MediaTek, є те, що замість шифрування нульовим ключем дані після дисоціації передаються взагалі не зашифрованими, незважаючи на те, що прапори шифрування встановлюються. З протестованих на наявність уразливості пристроїв на базі чіпів Qualcomm відзначено D-Link DCH-G020 Smart Home Hub та відкритий маршрутизатор . З пристроїв на базі чіпів MediaTek протестовано маршрутизатор ASUS RT-AC52U та IoT-рішення на базі Microsoft Azure Sphere, що використовують мікроконтролер MediaTek MT3620.
Для експлуатації обох варіантів уразливостей атакуючий може відправити спеціальні управляючі кадри, що викликають дисоціацію, і перехопити дані, що відправляються слідом. Дисоціація зазвичай застосовується у бездротових мережах для перемикання з однієї точки доступу на іншу під час роумінгу або при втраті зв'язку з поточною точкою доступу. Дисоціацію можна викликати відправкою керуючого кадру, який передається в незашифрованому вигляді і не вимагає аутентифікації (достатності Wi-Fi сигналу, що достатньо досяжний, але не потрібне підключення до бездротової мережі). Проведення атаки можливе як при зверненні вразливого клієнтського пристрою до невразливої точки доступу, так і у разі звернення не схильного до проблеми пристрою до точки доступу, на якій проявляється вразливість.
Вразливість зачіпає шифрування на рівні бездротової мережі і дозволяє проаналізувати лише незахищені з'єднання (наприклад, DNS, HTTP і поштовий трафік), що встановлюються користувачем, але не дає можливість скомпрометувати з'єднання з шифруванням на рівні програми (HTTPS, SSH, STARTTLS, DNS over TLS, VPN т.п.). Небезпека атаки також знижує те, що за один раз атакуючий може розшифрувати лише кілька кілобайтів даних, які знаходилися під час від'єднання в буфері передачі. Для успішного захоплення конфіденційних даних, що відправляються через незахищене з'єднання, атакуючий або повинен точно знати момент їх відправлення, або постійно ініціювати від'єднання від точки доступу, що кинеться в очі користувачеві через постійні перезапуски бездротового з'єднання.
Проблема усунена в липневому оновленні пропрієтарних драйверів до чіпів Qualcomm та в квітневому оновленні драйверів для чіпів MediaTek. Виправлення для MT3620 було запропоновано у липні. Про включення виправлень у вільний драйвер ath9k у дослідників інформації, що виявили проблему, немає. Для тестування пристроїв на схильність обох варіантів уразливості мовою Python.
Додатково можна відзначити дослідниками із компанії Сheckpoint шести вразливостей у DSP-чіпах Qualcomm, які застосовуються на 40% смартфонів, включаючи пристрої від Google, Samsung, LG, Xiaomi та OnePlus. До усунення проблем виробниками деталі про вразливості не повідомляються. Так як DSP-чіп є «чорною скринькою», яку не може контролювати виробник смартфона, виправлення може затягнутися і вимагатиме координації робіт з виробником DSP-чіпів.
DSP-чіпи використовуються в сучасних смартфонах для здійснення таких операцій як обробка звуку, зображень та відео, у обчисленнях для систем доповненої реальності, комп'ютерного зору та машинного навчання, а також реалізації режиму швидкої зарядки. Серед атак, які дозволяють провести виявлені вразливості, згадуються: Обхід системи розмежування доступу – непомітне захоплення даних, таких як фотографії, відео, записи дзвінків, дані з мікрофона, GPS тощо. Відмова в обслуговуванні – блокування доступу до всієї збереженої інформації. Приховування шкідливої активності - створення повністю непомітних і шкідливих компонентів, що видаляються.
Джерело: opennet.ru