Як з’ясувала компанія Eset, через помилки (бага) в декількох Wi-Fi чіпах від Broadcom і Cypress, дані мільярдів користувачів, що передаються по бездротовому зв’язку, були беззахисні перед спробами зловмисників отримати до них доступ. Серед вразливих пристроїв – деякі моделі iPhone, iPad і Mac. І багато інших, список трохи нижче. Eset виявила цю уразливість в середині минулого року і повідомила про неї розробнику вразливих чіпів і постраждалим компаніям для вжиття заходів. Відомості про уразливість були опубліковані 26 лютого, на міжнародній конференції з інформаційної безпеки.
Уразливі пристрої, що використовують чіпи FullMAC WLAN розроблені Broadcom і Cypress. У 2016 році Cypress придбала у Broadcom кілька підрозділів, в тому числі і займався розробкою цих чіпів, а також всю інтелектуальну власність і всі виробничі лінії, пов’язані з діяльністю цих підрозділів.
Причина уразливості – баг, протягом декількох років вислизає від його розробників. Цей баг може бути нейтралізований установкою в операційну систему пристрою “латки”. У бага є офіційне позначення (CVE-2019-15126) і кілька неофіційних імен. У Eset його назвали Kr00k, де “00” – два нуля. Ще його називають “проблемою з сеансовим ключем, що складається тільки з нулів”. Суть проблеми розглянемо нижче, почнемо з найважливіших і найцікавіших питань: “які пристрої уразливі?” і що робити?”
Які пристрої вразливі
Перш ніж перераховувати потерпілих, вважаю за необхідне зазначити, що винуватець цієї уразливості – чіпи від Broadcom / Cypress – одні з кращих в своєму класі. Інакше відомі своєю пунктуальністю і прискіпливістю до постачальників компанії як Apple, Amazon, Google і Samsung їх не вибрали б і не використали б на протязі довгих років.
Список постраждалих від CVE-2019-15126 пристроїв (запозичений у Eset):
- Amazon Echo другого покоління;
- Amazon Kindle восьмого покоління;
- iPad mini 2;
- iPhone 6 і 6s;
- iPhone 8;
- iPhone XR;
- MacBook Air 2018 роки;
- Google Nexus 5;
- Google Nexus 6;
- Google Nexus 6S;
- Raspberry Pi 3;
- Samsung Galaxy S4 GT-I9505;
- Samsung Galaxy S8;
- Xiaomi Redmi 3S.
Список постраждалих від CVE-2019-15126 Wi-Fi роутерів (запозичений у Eset):
- Asus RT-N12;
- Huawei B612S-25d;
- Huawei EchoLife HG8245H;
- Huawei E5577Cs-321.
Уразливість CVE-2019-15126 для роутерів небезпечніше, ніж для інших пристроїв, мабуть тому дослідники Eset Мілош Чермак, Роберт Липовски і Штефан Словенчік виділили їх в окремий список. А відповідь на друге питання в заголовку розділу поки відомий тільки для виробів Amazon і Apple. Установка “латки” на Amazon Echo або Amazon Kindle – не найпростіше для користувачів цих пристроїв справу, тому Amazon вже встановила ці заплатки на свої пристрої “по повітрю”. Apple намагається бути простіше (і надійніше), пропонуючи скачати і встановити необхідні заплатки для iOS / iPadOS і для macOS самостійно.
Заплатки опубліковані ще в жовтні 2019 року і включено до складу версій цих операційних систем, випущених пізніше. Решта компаній поки мовчать, але це в момент написання статті. Я впевнений, що вони дуже скоро опублікують заплатки для своїх пристроїв, з інструкціями по їх установці.
Нова уразливість Wi-Fi
Уразливість проявляється, коли контакт уразливого пристрої з точкою доступу до Wi-Fi переривається. Дані, які не вдалося відправити до розриву зв’язку, зберігаються в буфері пристрою. Після відновлення зв’язку ці дані відправляються – тільки в уразливому пристрої вони шифруються не узгодженим наперед і використовуваному при нормальному з’єднанні ключем сеансу, а ключем, що складається з одних нулів. Дані, зашифровані таким ключем, розшифровуються елементарно. Бездротовий зв’язок розривається в самих різних випадках: при виході пристрою із зони доступу, перехід від однієї точки Wi-Fi доступу до іншої, через перешкоди. Схема атаки приведена на ілюстраціях.
Перший етап атаки
Другий етап атаки
Імітувати роз’єднання (і тим самим привести в дію баг на уразливому пристрої) нескладно – правда при цьому нульовим ключем шифруються невеликі фрагменти даних, розміром і одиниці кілобайт – але, як Мілош Чермак, Роберт Липовски і Штефан Словенчік довели дослідним шляхом і змогли продемонструвати це на міжнародної конференції з інформаційної безпеки, імітацію розриву можна повторювати неодноразово, отлавливая цікавлять зловмисника або просто корисні дані.
Невідомо, чи знали про це зловмисники і використовували вони цю уразливість, але тепер, коли вона усунена, про неї можна було розповісти.