Společnost ESET odhalila potenciální zranitelnost více než miliardy zařízení po celém světě, mezi které můžeme započítat i smartphony s Androidem a iOS. Bezpečnostní chyba označená jako Kr00k (zařazená pod označením CVE-2019-15126), která je vztažena výhradně k Wi-Fi čipům značek Broadcom a Cypress (tato firma koupila Wi-Fi divizi Broadcomu v roce 2016).
Zranitelnost se týká protokolů WPA2-Personal a WPA2-Eneterprise. Samotným problémem je odpojení mobilního zařízení od Wi-Fi sítě, což se běžně děje při nízkém signálu Wi-Fi, když se mobilem vzdalujete od routeru. Útočníci však využitím chyby mohou uměle ukončit připojení zařízení k síti, přičemž odesílaná data jsou přesměrovaná na mobilní sítě. I přesto, že byla původní data na Wi-Fi šifrovaná, je při tomto přesměrování tvoří šifrovací klíč ze samých nul(!), takže je pro útočníka velmi jednoduché rozšifrovat citlivá odesílaná data.
ESET chybu odhalil při testování těchto zařízení:
Informace o chybě Eset odeslal s předstihem všem zainteresovaným stranám, které by na svá zařízení měli mít v současné době již aplikovány potřebné záplaty. Tedy alespoň ti významnější výrobci. Protože však chyba ovlivňuje všechna Wi-Fi zařízení s čipy od Broadcomu, týká se, nejen smartphonů a tabletů, ale také notebooků, IoT zařízení, APček a také routerů. Majitelům těchto zařízení je důrazně doporučena aktualizace na nejnovější verzi softwaru. Zranitelnost Kr00k se u Wi-Fi čipů od dalších výrobců, tj. od Qualcommu, Realteku, Ralinku a Mediate, neprokázala.
Zdroj Welivesecurity