Los investigadores de Eset han identificado una nueva variante de la vulnerabilidad Kr00k, la cual afecta a los chips Qualcomm y MediaTek. La nueva vulnerabilidad permite el descifrado del tráfico Wi-Fi interceptado protegido mediante el protocolo WPA2.
La vulnerabilidad Kr00k es causada por un procesamiento incorrecto de las claves de cifrado cuando el dispositivo está desconectado del punto de acceso. En la primera variante de la vulnerabilidad, al desconectarse, se resetea la clave de sesión (PTK) almacenada en la memoria del chip, ya que no se enviarán más datos en la sesión actual.
En este caso, los datos restantes en el búfer de transmisión (TX) se cifraron con una clave ya borrada que constaba solo de ceros y, en consecuencia, se podían descifrar fácilmente durante la interceptación. Una clave vacía solo se aplica a los datos residuales en un búfer que tiene varios kilobytes de tamaño.
Sobre el problema
La diferencia clave entre la segunda variante de la vulnerabilidad, que se manifiesta en los chips Qualcomm y MediaTek, es que, en lugar del cifrado con una clave cero, los datos después de la disociación se transmiten no cifrados en absoluto, a pesar de que el cifrado están configuradas.
De los dispositivos basados en Qualcomm probados para detectar vulnerabilidades, se observaron el D-Link DCH-G020 y el enrutador Turris Omnia.
Entre los dispositivos basados en chips MediaTek, se probaron el enrutador ASUS RT-AC52U y las soluciones de IoT basadas en Microsoft Azure Sphere utilizando el microcontrolador MediaTek MT3620.
Para explotar ambas vulnerabilidades, un atacante puede enviar marcos de control especiales que provocan la disociación e interceptar los datos que se envían a continuación.
La disociación se usa comúnmente en redes inalámbricas para cambiar de un punto de acceso a otro mientras está en roaming o cuando se pierde la conexión con el punto de acceso actual. La disociación se puede activar enviando un marco de control, que se transmite sin cifrar y no requiere autenticación (un atacante solo necesita una señal Wi-Fi, pero no necesita conectarse a una red inalámbrica).
Un ataque puede llevarse a cabo tanto cuando un dispositivo cliente vulnerable accede a un punto de acceso invulnerable, como en el caso de un dispositivo que no está afectado por el problema, a un punto de acceso donde se manifiesta la vulnerabilidad.
La vulnerabilidad afecta el cifrado a nivel de red inalámbrica y permite el análisis solo de las conexiones no seguras establecidas por el usuario (por ejemplo, DNS, HTTP y tráfico de correo), pero no brinda la oportunidad de comprometer las conexiones con cifrado a nivel de aplicación (HTTPS, SSH, STARTTLS, DNS sobre TLS, VPN y etc.).
El peligro del ataque también se reduce por el hecho de que un atacante puede descifrar solo unos pocos kilobytes de datos a la vez que estaban en el búfer de transmisión en el momento de la desconexión.
Para capturar con éxito los datos enviados a través de una conexión insegura, un atacante debe saber exactamente cuándo se envió o iniciar constantemente la desconexión del punto de acceso, lo que llamará la atención del usuario debido a los reinicios constantes de la conexión inalámbrica.
Soluciones
El problema se abordó en la actualización de julio para controladores propietarios para chips Qualcomm y en la actualización de abril para controladores para chips MediaTek.
En julio se propuso una solución para MT3620. Los investigadores que identificaron el problema no tienen información sobre cómo parchear el controlador ath9k gratuito.
Además de que se ha preparado una secuencia de comandos de Python para probar la exposición de los dispositivos a ambas vulnerabilidades. Si quieres tener acceso a ello, y puedes visitar el siguiente enlace.
Por otra parte podemos señalar la identificación de seis vulnerabilidades en los chips DSP de Qualcomm, que se utilizan en el 40% de los teléfonos inteligentes, incluidos los dispositivos de Google, Samsung, LG, Xiaomi y OnePlus, por investigadores de Checkpoint.
Los fabricantes no han revelado detalles de las vulnerabilidades hasta que se corrigieron.