2019-10-29
A Equipa de Investigação de Smart Home da ESET descobriu recentemente que o conhecido Amazon Echo – o hardware original do Amazon Alexa – estava aberto a algumas das dez vulnerabilidades de Key Reinstallation Attack (KRACK). O mesmo aconteceu também com pelo menos uma geração dos amplamente utilizados e-readers Kindle, também da Amazon. As vulnerabilidades foram corrigidas pela equipa de segurança da Amazon, depois da ESET ter reportado as falhas
Em 2017, dois investigadores belgas, Mathy Vanhoef e Frank Piessens, encontraram sérias fraquezas no standard WPA2, um protocolo que naquela época protegia praticamente todas as redes Wi-Fi modernas. Os ataques do KRACK foram dirigidos principalmente ao four-way handshake - um mecanismo usado para dois propósitos: confirmar que o cliente e o ponto de acesso possuem as credenciais corretas e negociar a chave usada na encriptação do tráfego. Mesmo agora, dois anos depois, muitos dispositivos com Wi-Fi ainda estão vulneráveis a ataques do KRACK. “Nos últimos anos, centenas de milhões de casas tornaram-se mais inteligentes e com acesso à Internet através de um dos muitos dispositivos de assistência doméstica disponíveis no mercado. Apesar dos esforços de alguns fornecedores no desenvolvimento de dispositivos seguros, eles são geralmente vulneráveis ”, diz o investigador da ESET, Miloš Čermák. “Identificámos várias falhas em pelo menos três dispositivos da Amazon, o que poderia representar um risco de segurança de longo alcance dada a quantidade de exemplares que foram vendidos”, explica Čermák. Os dispositivos Echo de primeira geração e Amazon Kindle de oitava geração mostraram-se vulneráveis a duas vulnerabilidades do KRACK. Trata-se de vulnerabilidades bastante graves, pois permitem que um hacker execute um ataque de DoS, decifre quaisquer dados ou informações transmitidas pela vítima, substitua pacotes de dados, faça com que o dispositivo rejeite pacotes de dados ou até injete novos pacotes, e ainda intercete informações confidenciais, como passwords ou cookies de sessão. “Note-se que os ataques de KRACK - semelhantes a qualquer outro ataque contra redes Wi-Fi - exigem proximidade entre o hacker e os dispositivos da vítima para que seja eficaz”, acrescenta Miloš Čermák. A ESET relatou todas as vulnerabilidades identificadas no Echo e no Kindle e ajudou a equipa de segurança da Amazon a solucionar os problemas. |