Luki związane z siecią Wi-Fi (CVE-2017-13077 oraz CVE-2017-13078) pozwalają na wykorzystanie metody kryptologicznej man in the middle, czyli dają możliwość przeglądania i kontrolowanie ruchu sieciowego w sieci Wi-Fi z protokołem WPA2. Napastnicy korzystający z KRACK mogą odszyfrować przesyłane dane, wykonać atak DoS, przechwytywać hasła i pliki cookies lub zmusić dane urządzenie do odrzucenia pakietów.
Łącznie problem dotyczy ponad 100 milionów urządzeń produkcji Amazona – co najmniej dwóch różnych modeli sprzętów. Wśród nich wymienia się pierwszą generację Amazon Echo i ósmą generację czytnika Amazon Kindle. Atak typu KRACK został odkryty jeszcze w 2017 roku przez Mathy’ego Vanhoefa i Franka Piessensa. Wielu producentów sprzętu aktualizowało wtedy swoje firmware urządzeń, jednak nie Amazon.
„Wrażliwość nie należy na szczęście do bardzo niebezpiecznych, bowiem cyberprzestępca musiałby znajdować się blisko potencjalnej ofiary.”, informuje Miloš Čermák z firmy ESET.
Amazon potwierdził, że programiści zajmujący się kwestiami związanymi z bezpieczeństwem usunęli luki z początkiem bieżącego roku. Po stronie użytkowników leży jednak aktualizacja oprogramowania, która uniemożliwi cyberprzestępcom działania przy wykorzystaniu metody KRACK. Jeśli korzystacie z czytnika Amazon Kindle 8. generacji, koniecznie zainstalujcie najnowszy dostępny soft.
Źródło: ESET