I ricercatori della sicurezza hanno scoperto un difetto critico nei chip Wi-Fi prodotti da Broadcom e Cypress Semiconductor che venivano utilizzati nei dispositivi Apple.
Il difetto di sicurezza è stato dettagliato alla conferenza sulla sicurezza di RSA (via Ars Technica) e, per gli utenti Apple, il problema è stato risolto negli aggiornamenti iOS 13.2 e macOS 10.15.1 rilasciati a fine ottobre.
I dispositivi Apple interessati includevano:
- iPad mini 2
- iPhone 6, 6S, 8 e XR
- MacBook Air 2018
Soprannominato Kr00k, il difetto del chip WiFi rendeva inutilizzabile la crittografia dei dispositivi utilizzata per proteggere le comunicazioni di un utente. Se applicato correttamente, l’attacco consentiva agli hacker di decrittografare alcuni pacchetti di rete wireless inviati da un dispositivo vulnerabile.
Sostanzialmente, Kr00k sfruttava un bug che si verifica quando i dispositivi wireless si dissociavano da un punto di accesso wireless. Se il dispositivo dell’utente finale o il punto di accesso erano vulnerabili, inseriva tutti i frame di dati in un buffer di trasmissione. Anziché crittografare questi dati con la chiave utilizzata durante la normale connessione, i dispositivi vulnerabili utilizzavano una chiave composta da tutti zeri, facile da decifrare.
I chip di Broadcom e Cypress sono utilizzati in molti dispositivi WiFi moderni come smartphone, laptop, prodotti Internet of Things, punti di accesso WiFi e router.
I nostri test hanno confermato che prima del rilascio della patch, alcuni dispositivi di Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (RedMi), come così come alcuni punti di accesso di Asus e Huawei, erano vulnerabili a KrØØk.
Leggi o Aggiungi Commenti