Το δημοφιλές Amazon Echo, το αυθεντικό hardware του Amazon Alexa, βρέθηκε με κενά ασφαλείας, που θα μπορούσαν να επιτρέψουν επιθέσεις από δέκα ευπάθειες Key Reinstallation Attack (KRACK), όπως αποκάλυψε η ομάδα ερευνητών για θέματα Smart Home της ESET. Αντίστοιχο εύρημα εντοπίστηκε και σε τουλάχιστον μία γενιά του Kindle, του ευρέως χρησιμοποιούμενου e-reader της Amazon. Η ESET ενημέρωσε για τις συγκεκριμένες ευπάθειες, οι οποίες στη συνέχεια διορθώθηκαν από την ομάδα ασφάλειας της Amazon.
Το 2017, δύο Βέλγοι ερευνητές, ο Mathy Vanhoef και ο Frank Piessens, βρήκαν σοβαρά κενά στο πρότυπο WPA2, ένα πρωτόκολλο που την εποχή εκείνη κρατούσε ασφαλή ουσιαστικά όλα τα δίκτυα Wi-Fi. Οι επιθέσεις KRACK στοχεύουν κατά κύριο λόγο το four-way handshake, ένα μηχανισμό που χρησιμοποιείται για δύο σκοπούς: για την επιβεβαίωση ότι ο client και το access point έχουν τα σωστά διαπιστευτήρια και για τη διαπραγμάτευση κρυπτογραφικού κλειδιού του traffic δικτύου. Ακόμα και σήμερα, δύο χρόνια μετά, πολλές συσκευές που λειτουργούν με Wi-Fi εξακολουθούν να είναι ευάλωτες στις επιθέσεις KRACK.
«Τα τελευταία χρόνια, εκατοντάδες εκατομμύρια σπίτια έχουν γίνει πιο «έξυπνα» και έχουν πρόσβαση στο διαδίκτυο μέσω μίας από τις πολλές δημοφιλείς συσκευές home assistant της αγοράς. Παρά τις προσπάθειες ορισμένων κατασκευαστών να αναπτύξουν αυτές τις συσκευές με γνώμονα την ασφάλεια, αυτές συχνά παραμένουν ευάλωτες», αναφέρει ο ερευνητής της ESET, Miloš Čermák. «Εντοπίσαμε πολλά κενά ασφάλειας σε τουλάχιστον τρεις συσκευές της Amazon, οι οποίες θα μπορούσαν να δημιουργήσουν εκτεταμένους κινδύνους, αν υπολογίσουμε τον αριθμό των συσκευών που έχουν αγοραστεί», εξηγεί ο Čermák.
Οι συσκευές 1ης γενιάς του Echo και 8ης γενιάς του Amazon Kindle βρέθηκαν ευάλωτες σε δύο ευπάθειες KRACK. Αυτά τα τρωτά σημεία είναι αρκετά σοβαρά καθώς επιτρέπουν σε έναν εισβολέα: να εκτελέσει επίθεση DoS, να αποκρυπτογραφήσει όλα τα δεδομένα ή τις πληροφορίες που διαβιβάστηκαν από το θύμα, να παραποιήσει πακέτα δεδομένων, να αναγκάσει τη συσκευή να απορρίψει πακέτα ή ακόμα και να λάβει νέα πακέτα, και να παρακολουθήσει ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης ή cookies.
«Να σημιεώσουμε ότι οι επιθέσεις KRACK - όπως και κάθε άλλη επίθεση εναντίον δικτύων Wi-Fi – πρέπει να εκτελούνται από κοντινή απόσταση για να είναι αποτελεσματικές», προσθέτει ο Miloš Čermák.
Η ESET ενημέρωσε για όλες τις ευπάθειες που εντόπισε στο Echo και το Kindle και βοήθησε την ομάδα ασφάλειας του Amazon όσο επιδιόρθωνε τα ζητήματα.
Για περισσότερες λεπτομέρειες, διαβάστε το σχετικό blogpost «What was wrong with Alexa? How Amazon Echo and Kindle got KRACKed».
Όλες οι τελευταίες εξελίξεις και οι έρευνες βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.
Εδώ και 30 χρόνια, η αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το.
| |