Onderzoekers van security-aanbieder ESET hebben Kr00k ontdekt, een niet eerder bekende kwetsbaarheid in een WiFi-chip die wordt gebruikt in veel gebruikersapparatuur, WiFi-toegangspunten en routers.
Kr00k is vooral gevaarlijk omdat het meer dan een miljard apparaten betreft die gebruik maken van WiFi. ESET heeft het onderzoek naar deze kwetsbaarheid op 26 februari naar buiten gebracht tijdens de RSA Conference 2020.
De kwetsbaarheid maakt versleuteling van netwerkcommunicatie op een getroffen apparaat mogelijk met een encryptiesleutel bestaande uit enkel nullen. Bij een succesvolle aanval stelt dit kwaadwillende partijen in staat om draadloze netwerkpakketjes te ontsleutelen.
Gevolgen voor alle devices met Broadcom-, Cypress-WiFi-chips
Kr00k heeft gevolgen voor alle apparaten met Broadcom- en Cypress-WiFi-chips die niet gepatcht zijn. Dit zijn WiFi-chips die het meest worden gebruikt in gebruikersapparatuur. WiFi-toegangspunten en routers zijn ook getroffen door deze kwetsbaarheid, waardoor zelfs omgevingen met gepatchte gebruikersapparatuur kwetsbaar zijn.
ESET heeft de volgende apparaten getest en bevestigd dat ze tot de kwetsbare apparaten behoorden: Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (Redmi) en toegangspunten van Asus en Huawei.
De ontdekking van Kr00k volgt op eerder onderzoek van ESET waaruit bleek dat Amazon Echo kwetsbaar is voor KRACKs (Key Reinstallation Attacks). Kr00k is gerelateerd aan KRACK, maar ook fundamenteel anders. Tijdens het onderzoek naar KRACK, hebben ESET-onderzoekers Kr00k geïdentificeerd als één van de achterliggende oorzaken van 'herinstallatie' van een kwetsbare encryptiesleutel die geobserveerd werd in testen voor KRACK-aanvallen. Na dit onderzoek hebben de meeste grote fabrikanten van relevante apparaten patches gepubliceerd.
Patches uitgebracht
ESET heeft de kwetsbaarheid bekendgemaakt aan chip-fabrikanten Broadcam en Cypress, waarna zij patches hebben gepubliceerd. De security-aanbieder stelt daarna met het Industry Consortium for Advancement of Security on the Internet (ICASI) eraan gewerkt te hebben om ervoor te zorgen dat alle mogelijk betrokken partijen op de hoogte werden gebracht van Kr00k. Daaronder de fabrikanten van de apparaten waarin de kwetsbare chips werden gebruikt en fabrikanten van andere, mogelijk getroffen, chips. Volgens de laatste berichtgeving zijn de apparaten van de grote fabrikanten inmiddels gepatcht.
"Om jezelf als gebruiker te beveiligen, kun je het beste ervoor zorgen dat alle apparaten met WiFi-toegang, inclusief telefoons, tablets, laptops, slimme IoT-apparaten, en WiFi-toegangspunten en routers geüpdatet zijn en de nieuwste firmware-versie gebruiken," adviseert Robert Lipovský, een ESET-onderzoeker die in het Kr00k-onderzoeksteam werkt. "Een grote zorg is dat niet alleen client apparaten, maar ook WiFi-toegangspunten en routers getroffen zijn door Kr00k. Dit vergroot het aanvalsrisico omdat data die door een kwetsbaar toegangspunt wordt verstuurd naar een niet-kwetsbaar apparaat, wat vaak buiten onze controle ligt, ontsleuteld kan worden door een kwaadwillende."
