Non passa giorno senza che il mondo dell’IoT venga scosso da nuove vulnerabilità portate alla luce da gruppi di ricercatori.
L’ultima di una lunga serie, questa criticità appena scoperta rischia di avere conseguenze potenzialmente catastrofiche. Perché?
Cos’è Kr00k
Perché questa riguarda i chip Wi-Fi di due produttori – Broadcom e Cypress – presenti, secondo una stima, in oltre un miliardo di dispositivi tra smartphone, tablet, router, pc portatile e tantissimi dispositivi IoT.
Soprannominata ‘Kr00k‘ (storpiatura dell’inglese crook – ladro, criminale) e classificata come CVE-2019-15126, la vulnerabilità potrebbe permettere ai Criminal Hacker nelle dei dispositivi di intercettare e decrittare i pacchetti di rete wireless trasmessi via etere da un dispositivo vulnerabile e non patchato.
L’aggressore non ha neppure bisogno di essere connesso alla rete wireless della vittima (!). La criticità è “exploitabile” utilizzando i protocolli WPA2-Personal (Wi-Fi Protected Access) o WPA2-Enterprise, con crittografia AES-CCMP, che i device a rischio utilizzano per proteggere il loro traffico di rete.
I test effettuati dal gruppo di ricerca che per primo ha isolato la vulnerabilità hanno confermato che alcuni dispositivi client di Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (RedMi), così come alcuni access point di Asus e Huawei, erano vulnerabili a Kr00k.
Non è da escludere, tra l’altro, che Kr00k sia in qualche modo legato all’attacco KRACK, una tecnica di WPA2 attack che rende più facile per gli aggressori hackerare le password Wi-Fi protette con il già citato protocollo.
Cosa non è a rischio:
Prima di passare direttamente alle possibili ricadute, è importante sottolineare che Kr00k:
- La vulnerabilità non risiede nel protocollo di cifratura Wi-Fi stesso, ma nel modo in cui i chip vulnerabili hanno implementato la codifica cifrata;
- Non permette agli aggressori di connettersi alla rete Wi-Fi e di lanciare ulteriori attacchi man-in-the-middle o di sfruttare altri dispositivi collegati;
- Non permette agli aggressori di conoscere la vostra password Wi-Fi, quindi anche modificarla non vi aiuterebbe a risolvere il problema;
- Non influisce sui dispositivi moderni che utilizzano il protocollo WPA3, il più recente standard di sicurezza Wi-Fi;
- Permette agli aggressori di catturare e decrittare alcuni pacchetti wireless (diversi kilobyte), ma non c’è modo di prevedere quali dati includerà.
La cosa più importante da notare è che la CVE-2019-15126 “rompe” la crittografia a livello wireless, ma non ha nulla a che fare con la crittografia TLS (Transport Layer Security) che protegge ancora il traffico di rete dei siti che utilizzano HTTPS.
Come funziona Kr00k
Quindi, cosa impatta, cosa mette a rischio e soprattutto, come funziona Kr00k?
Semplicemente? Un attacco riuscito grazie a Kr00k non fa altro che degradare il vostro livello di sicurezza, un passo verso ciò che avreste su una rete Wi-Fi aperta.
Pertanto, ciò che gli aggressori possono acquisire – in termini di informazioni sensibili – da un dispositivo vulnerabile dipende totalmente dalla mancanza del livello successivo di crittografia del traffico di rete, ovvero la visita di siti web non HTTPS.
L’attacco si basa sul fatto che quando un dispositivo viene improvvisamente scollegato dalla rete wireless, il chip Wi-Fi cancella la chiave di sessione nella memoria e la imposta a zero, ma il chip trasmette inavvertitamente tutti i fotogrammi di dati lasciati nel buffer con una chiave di crittografia a zero anche dopo la dissociazione.
Pertanto, un aggressore in prossimità di dispositivi vulnerabili può utilizzare questo difetto per innescare ripetutamente le dissociazioni inviando pacchetti di deauthentication via etere per catturare più frame di dati, potenzialmente contenenti dati sensibili, compresi i pacchetti DNS, ARP, ICMP, HTTP, TCP e TLS.
Oltre a questo, poiché il difetto riguarda anche i chip incorporati in molti router wireless, il problema rende anche possibile agli aggressori intercettare e decrittare il traffico di rete trasmesso da dispositivi collegati che non sono vulnerabili a Kr00k, sia quelli già in possesso di patch sia quelli che utilizzano diversi chip Wi-Fi.
I ricercatori hanno segnalato questo problema sia ai produttori di chip interessati, Broadcom e Cypress, l’anno scorso, sia a molti produttori di dispositivi interessati che sono responsabili dello sviluppo di una patch per mitigare il problema tramite aggiornamenti software o firmware per i loro utenti.
Apple ha già rilasciato patch per i suoi utenti, mentre altri fornitori stanno ancora testando il problema contro i loro dispositivi.
Il caso di Kr00k è l’ennesima testimonianza che mancanza di standard e best practice collaudate nel settore dei device IoT ha reso fin troppo frammentata la sua risoluzione.
Kr00k mette a rischio fin troppi dispositivi di troppi produttori e dover aspettare mesi per avere una patch uniforme non è più una modalità accettabile…