Eset 研究人員 該漏洞的新變體(CVE-2020-3702) ,適用於高通和聯發科無線晶片。 喜歡 該漏洞影響了 Cypress 和 Broadcom 晶片,新漏洞可讓您解密截獲的使用 WPA2 協定保護的 Wi-Fi 流量。
讓我們回想一下,Kr00k 漏洞是由於裝置與存取點斷開(解除關聯)時對加密金鑰的錯誤處理所造成的。 在該漏洞的第一個版本中,在斷開連接時,儲存在晶片記憶體中的會話金鑰 (PTK) 被重置,因為當前會話中不會發送更多資料。 在這種情況下,傳輸緩衝區(TX)中剩餘的資料是使用已清除的僅由零組成的金鑰進行加密的,因此可以在攔截過程中輕鬆解密。 空鍵僅適用於緩衝區中的剩餘數據,其大小為數千位元組。
高通和聯發科晶片中出現的第二個版本的漏洞的主要區別在於,儘管設定了加密標誌,但解離後的資料根本不會加密傳輸,而不是使用零密鑰加密。 在基於高通晶片進行漏洞測試的設備中,D-Link DCH-G020智慧家庭集線器和開放路由器被注意到 。 在基於聯發科晶片的裝置中,測試了華碩 RT-AC52U 路由器和使用聯發科 MT3620 微控制器的 Microsoft Azure Sphere 為基礎的物聯網解決方案。
為了利用這兩種類型的漏洞,攻擊者可以發送特殊的控制幀,導致解離並攔截隨後發送的資料。 取消關聯通常在無線網路中用於在漫遊時或在與目前存取點的通訊遺失時從一個存取點切換到另一個存取點。 解除關聯可以透過發送控制幀來引起,該控制幀以未加密的方式傳輸,並且不需要身份驗證(攻擊者只需要Wi-Fi訊號的範圍,但不需要連接到無線網路)。 當易受攻擊的用戶端裝置存取無漏洞的存取點以及未受影響的裝置存取存在漏洞的存取點時,都可能發生攻擊。
此漏洞會影響無線網路層級的加密,並允許您僅分析使用者建立的不安全連線(例如 DNS、HTTP 和郵件流量),但不允許您破壞應用程式層級的加密連線(HTTPS、 SSH、STARTTLS、基於TLS的DNS、VPN 等)。 由於攻擊者一次只能解密斷開連接時傳輸緩衝區中的數千位元組數據,因此也降低了攻擊的危險。 為了成功捕獲透過不安全連接發送的機密數據,攻擊者必須準確知道數據的發送時間,或者不斷地斷開與接入點的連接,由於無線連接不斷重新啟動,這對用戶來說是顯而易見的。
該問題已在 3620 月的高通晶片專有驅動程式更新和 9 月的聯發科晶片驅動程式更新中解決。 XNUMX 月提出了針對 MTXNUMX 的修復。 發現該問題的研究人員沒有關於免費 athXNUMXk 驅動程式中包含修復程式的資訊。 測試設備是否存在這兩個漏洞 在Python語言中。
此外,還可以注意到 Checkpoint 的研究人員發現了高通 DSP 晶片中的 40 個漏洞,這些晶片被用於 XNUMX% 的智慧型手機,包括Google、三星、LG、小米和 OnePlus 的裝置。 在製造商解決問題之前,不會提供有關漏洞的詳細資訊。 由於DSP晶片是一個“黑盒子”,智慧型手機製造商無法控制,因此修復可能需要很長時間,並且需要與DSP晶片製造商協調。
DSP晶片在現代智慧型手機中用於執行音訊、影像和視訊處理等操作,用於擴增實境系統的運算、電腦視覺和機器學習,以及實現快速充電模式。 已識別的漏洞允許的攻擊包括: 繞過存取控制系統 - 未經偵測地擷取照片、視訊、通話錄音、麥克風資料、GPS 等資料。 拒絕服務 - 阻止存取所有儲存的資訊。 隱藏惡意活動 - 建立完全不可見且不可刪除的惡意元件。
來源: opennet.ru