Secondo uno studio pubblicato dalla società di sicurezza informatica ESET, nel mondo Android e Apple ci sarebbero oltre un miliardo di dispositivi soggetti alla vulnerabilità denominata “Kr00K”. Un falla nei sistemi legata al Wi-Fi che consente a un hacker ben equipaggiato e malintenzionato di decodificare informazioni sensibili da tutti gli utenti.
Tuttavia ESET specifica che il problema interessa solo i chip Wi-Fi prodotti da Cypress Semiconductor e Broadcom, mentre le tecnologie di Qualcomm, Realtek, Mediatek e Ralink non sembrano presentare la falla. Inoltre bisogna specificare che il bug Kr00K impatta solo le connessioni Wi-Fi con protocolli di sicurezza WPA2-Personal o WPA2-Enterprise con cifratura AES-CCMP. Dunque i nuovi sistemi di connessione Wi-Fi 6 con protocollo di autenticazione WPA3 sono al sicuro.
Dunque possiamo stare tranquilli? No, perché di device Apple e Android non aggiornati o comunque non recenti ce ne sono a miliardi nel mondo.
Se un router o access point non è stato aggiornato o è obsoleto, tutti gli utenti che vi si connettono sono potenzialmente a rischio, anche quelli che usano uno smartphone o un PC con chiavi di cifratura di ultima generazione.
Come spiega ESET:“la superficie di attacco è notevolmente maggiore, poiché un malintenzionato può decodificare i dati che sono stati trasmessi da un access point vulnerabile a un client specifico“.
La falla Kr00K (con codice CVE-2019-15126) interessa gli Amazon Echo di seconda generazione, il Kindle di 8°, gli smartphone Google Nexus 5, 6 e 6S, i Samsung Galaxy S4 e S8, lo Xiaomi Redmin 3S e anche la piattaforma di sviluppo Raspberry Pi 3. Sul fronte Apple annoveriamo prodotti come l’iPad mini 2, iPhone 6, 6S, 8 e XR e il MacBook Air Retina 2018 da 13”.
L’attacco Kr00k sfrutta una vulnerabilità che si presenta quando i dispositivi vengono dissociati da un wireless access point. I malintenzionati nel raggio di un dispositivo client vulnerabile possono facilmente innescare dissociazioni inviando dei frame di gestione che non sono crittografati e non richiedono autenticazione. Questa assenza di sicurezza consente a un malintenzionato di creare frame di gestione che innescano manualmente una dissociazione.