The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в чипах Qualcomm и MediaTek, позволяющая перехватить часть трафика WPA2

07.08.2020 23:00

Исследователи из компании Eset выявили новый вариант (CVE-2020-3702) уязвимости Kr00k, применимый к беспроводным чипам Qualcomm и MediaTek. Как и первый вариант, которому были подвержены чипы Cypress и Broadcom, новая уязвимость позволяет дешифровать перехваченный Wi-Fi трафик, защищённый с использованием протокола WPA2.

Напомним, что уязвимость Kr00k вызвана некорректной обработкой ключей шифрования при отсоединении (диссоциации) устройства от точки доступа. В первом варианте уязвимости при отсоединении выполнялось обнуление сессионного ключа (PTK), хранимого в памяти чипа, так как дальнейшая отправка данных в текущем сеансе производиться не будет. При этом оставшиеся в буфере передачи (TX) данные шифровались уже очищенным ключом, состоящим только из нулей и, соответственно, могли быть легко расшифрованы при перехвате. Пустой ключ применяется только к остаточным данным в буфере, размер которого составляет несколько килобайт.

Ключевым отличием второго варианта уязвимости, проявляющейся в чипах Qualcomm и MediaTek, является то, что вместо шифрования нулевым ключом данные после диссоциации передаются вообще не зашифрованными, несмотря на то, что флаги шифрования устанавливаются. Из протестированных на наличие уязвимости устройств на базе чипов Qualcomm отмечены D-Link DCH-G020 Smart Home Hub и открытый маршрутизатор Turris Omnia. Из устройств на базе чипов MediaTek протестирован маршрутизатор ASUS RT-AC52U и IoT-решения на базе Microsoft Azure Sphere, использующие микроконтроллер MediaTek MT3620.

Для эксплуатации обоих вариантов уязвимостей атакующий может отправить специальные управляющие кадры, вызывающие диссоциацию, и перехватить отправляемые следом данные. Диссоциация обычно применяется в беспроводных сетях для переключения с одной точки доступа на другую во время роуминга или при потере связи с текущей точкой доступа. Диссоциацию можно вызвать отправкой управляющего кадра, который передаётся в незашифрованном виде и не требует аутентификации (атакующему достаточно достижимости Wi-Fi сигнала, но не требуется подключение к беспроводной сети). Проведение атаки возможно как при обращении уязвимого клиентского устройства к неуязвимой точке доступа, так и в случае обращения не подверженного проблеме устройства к точке доступа, на которой проявляется уязвимость.

Уязвимость затрагивает шифрование на уровне беспроводной сети и позволяет проанализировать лишь устанавливаемые пользователем незащищённые соединения (например, DNS, HTTP и почтовый трафик), но не даёт возможность скомпрометировать соединения с шифрованием на уровне приложения (HTTPS, SSH, STARTTLS, DNS over TLS, VPN и т.п.). Опасность атаки также снижает то, что за раз атакующий может расшифровать только несколько килобайтов данных, которые находились во время отсоединения в буфере передачи. Для успешного захвата отправляемых через незащищённое соединение конфиденциальных данных, атакующий либо должен точно знать момент их отправки, либо постоянно инициировать отсоединение от точки доступа, что бросится в глаза пользователю из-за постоянных перезапусков беспроводного соединения.

Проблема устранена в июльском обновлении проприетарных драйверов к чипам Qualcomm и в апрельском обновлении драйверов для чипов MediaTek. Исправление для MT3620 было предложено в июле. О включении исправлений в свободный драйвер ath9k у выявивших проблему исследователей информации нет. Для тестирования устройств на подверженность обоих вариантов уязвимости подготовлен скрипт на языке Python.


Дополнительно можно отметить выявление исследователями из компании Сheckpoint шести уязвимостей в DSP-чипах Qualcomm, которые применяются на 40% смартфонов, включая устройства от Google, Samsung, LG, Xiaomi и OnePlus. До устранения проблем производителями детали об уязвимостях не сообщаются. Так как DSP-чип представляет собой "чёрный ящик", который не может контролировать производитель смартфона, исправление может затянуться и потребует координации работ с производителем DSP-чипов.

DSP-чипы используются в современных смартфонах для совершения таких операций как обработка звука, изображений и видео, в вычислениях для систем дополненной реальности, компьютерного зрения и машинного обучения, а также в реализации режима быстрой зарядки. Среди атак, которые позволяют провести выявленные уязвимости, упоминаются: Обход системы разграничения доступа - незаметный захват данных, таких как фотографии, видео, записи звонков, данные с микрофона, GPS и т.п. Отказ в обслуживании - блокирование доступа ко всей сохранённой информации. Скрытие вредоносной активности - создание полностью незаметных и неудаляемых вредоносных компонентов.

  1. Главная ссылка к новости (https://blog.checkpoint.com/20...)
  2. OpenNews: Уязвимость в Wi-Fi чипах Cypress и Broadcom, позволяющая расшифровать трафик
  3. OpenNews: Извлечение ключей устройств Qualcomm для атаки на зашифрованные разделы в Android
  4. OpenNews: Уязвимость в чипах Qualcomm, позволяющая извлечь закрытые ключи из хранилища TrustZone
  5. OpenNews: Уязвимость в чипах Qualcomm, позволяющая атаковать Android-устройство через Wi-Fi
  6. OpenNews: MediaTek пытается брать деньги за доступ к используемому в прошивках коду ядра Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53512-qualcomm
Ключевые слова: qualcomm, mediatek, wifi, crypt, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:38, 07/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > О включении исправлений в свободный драйвер ath9k у выявивших проблему исследователей информации нет.

    А он вообще подвержен?

     
     
  • 2.9, анонимус (??), 02:04, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если на Turris Omnia воспроизвели, то вероятно подвержен. Хотя там еще и ath10k используется.
     
     
  • 3.26, Аноним (-), 16:56, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ath9k и 10k - абсолютно разные зверушки. Первое HW-based, второе FW-based. Поэтому их поведение радикально иное - и вот например фирмварь вполне может по своему разумениб долбануть какой-то пакет даже после того как драйвер это уже перехотел.
     

  • 1.2, Корец (?), 00:09, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Проблема устранена в июльском обновлении проприетарных драйверов к чипам Qualcomm и в апрельском обновлении драйверов для чипов MediaTek.

    Так уязвимость в драйверах или в железе?

     
     
  • 2.4, Аноним (1), 00:24, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Надо понимать, в прошивке.
     
     
  • 3.34, oooooooo (?), 17:27, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле, может быть и там, и там. Как mac80211, так и драйвер, и прошивка, и даже железо могут иметь внутри очереди, в которые кладутся пакеты во время обработки. И в некоторых случаях разработчики не убедились, что все очереди опустошены перед заменой параметров шифрования. По сути - race condition.

    Например, интересные патчи
    https://www.phoronix.com/scan.php?page=news_item&px=Linux-5.6-Broken-Intel-IWL
    https://github.com/torvalds/linux/commit/a0761a301746ec2d92d7fcb82af69c0a6a433
    https://github.com/torvalds/linux/commit/b16798f5b907733966fd1a558fca823b3c67e

     
  • 2.38, Админ (?), 21:50, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Шифрование вайфая сделано для галочки. Эта уязвимость особо не ухудшит "безопасность".
     
     
  • 3.40, Аноним (40), 12:15, 10/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и плоскоземельцы подкатили.
     

  • 1.3, Аноним (3), 00:12, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tcpdump 802.11 link-layer types supported only on 802.11

    скриптец не рабочий.

     
  • 1.5, Аноним (5), 00:34, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно ли как-то отключить диссациацию? Постоянно переподключается WiFi на ноутбуке с Убунтой. Сейчас подозреваю, что как раз по этой причине.
     
     
  • 2.6, RENI (?), 01:08, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да, выключить точку доступа.
     
  • 2.11, null (??), 05:41, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Задействуйте 802.11w и проблема с поддельными диссоцияциями уйдёт.
     
     
  • 3.12, Антон (??), 06:33, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да там почти весь wifi уйдет, т.к. куча клиентов не поддерживают MFP
     
  • 3.27, Аноним (-), 16:58, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Дык сколько AP и клиентов поддерживает его? А, вы имеете в виду - нет трафика, нет проблем? В принципе логично :)
     
  • 2.28, Аноним (28), 17:01, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно ли как-то отключить диссациацию?

    Неотъемлимая часть протокола. Я пробовал ее игнорить, но это создает больше проблем чем решает.

    > Сейчас подозреваю, что как раз по этой причине.

    Задолбал кого-нибудь постоянными торентами через вафлю? :). А так в логах кернеля что там происходит и причина дисконекта светится. Как и в выхлопе WPA_SUPPLICANT.

     
  • 2.41, Аноним (40), 12:19, 10/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если это realtek то возможно из-за броадкастинга, в настройках сети поставь фиксированную точку доступа (выбери из списка только одну, там будет MAC адрес). Но при этом если ты в помещении с несколькими точками и будешь ходить туда-сюда подключаться ближайшие перестанут. Но для дома это обычно не проблема.
     

  • 1.7, KT315 (ok), 01:10, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А зачем вообще передавать данные после диссоциации, ну кроме технической, типа пака-пака?
     
     
  • 2.8, Аноним (8), 01:28, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Специально дыру для АНБ оставили, а сейчас уже не особо нужна, и так все сливают акки.
     
  • 2.17, Аноним (17), 11:33, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По инерции. Данные уже были отправлены в контроллер и лежат в его буфере. Контроллеру что сказали, то он и делает - отправляет. И тут надо выполнить диссоциацию. По-хорошему, надо дождаться завершения отправки, но возможно, это сложно сделать, а возможно, об этом просто не подумали.
     
  • 2.29, Аноним (28), 17:03, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сейчас подозреваю, что как раз по этой причине.

    А потому что уже забуферили - ну вот оно и улетело. Особенно характерно для FW based, которым вгружают эн пакетов а они совсем асинхронно жуют это потом своим процом.

     

  • 1.10, Аноним (10), 04:26, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Покупайте наш новый Wi-Fi всего за 5999 рублей..
     
  • 1.13, Аноним (13), 09:08, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так все хомячки всегда гордились и были рады: у меня нет проводов, у меня нет проводов...
     
     
  • 2.14, ыы (?), 09:39, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    я от этого страдал, и мечтал протянуть кабель, поскольку беспроводная связь была не очень хорошей...
     

  • 1.16, Zenitur (ok), 11:30, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    mt7601Usta подвержен Про Eset Пользуюсь их антивирусом для Linux Desktop с 201... большой текст свёрнут, показать
     
     
  • 2.18, RomanCh (ok), 11:58, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Было как минимум одно правильное срабатывание (Linux/Bew.A)

    Поделитесь историей как вы его нашли. "Троян для Linux скачать бесплатно"?

     
     
  • 3.21, Zenitur (ok), 12:47, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>  Было как минимум одно правильное срабатывание (Linux/Bew.A)
    > Поделитесь историей как вы его нашли. "Троян для Linux скачать бесплатно"?

    В роутере выключил режим NAT и включил режим Bridge. На компьютере соединился с интернетом через pppoe-setup и pppoe-start. Получил прямой белый IP. Поднял сервер одной игры, поиграл с друзьями, а на следующий день вернул всё как было.

    Спустя долгое время, я подключил жёсткий диск, который участвовал в предыдущем абзаце, к компьютеру на работе. Там установлен NOD32 для Linux - чисто чтобы флешки проверять после визита в государственные учреждения. В контекстном меню по правой кнопке, такая возможность есть. В общем, я набрал su, а потом mc. Лажу по жёсткому диску, ищу какие-то файлы. В директории /root нашёл файлик .tar и думаю, что это за архив такой? Я не заметил, что в mc файл другим цветом - кислотно-зелёным, как исполняемый файл, со звёздочкой. Нажимаю, чтобы посмотреть, что в архиве. Тут же антивирус "аларм!" https://pic4a.ru/812/RaT.png

    Заражение скорее всего произошло через SSH. В журнале нашёл ~50 попыток входа по SSH со внешних IP-адресов в тот день. Этого мало, чтобы перебрать пароль, поэтому взлом скорее всего произошёл через "дыру" в безопасности.

     
     
  • 4.22, RomanCh (ok), 12:55, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ясно. Спасибо. Правда не понимаю почему вы думаете что взлом произошёл через SSH, который с точки зрения безопасности штука очень надёжная. А не через игровой сервер, который с точки зрения безопасности скорее всего чёрте что. В дырявый игросервер + локальный root поверить пока что проще, чем в удалённый root по ssh.

    Кстати, на мой взгляд хорошая демонстрация почему mc надо в помойку, исключая отдельные редкие случаи вроде "монтирования" по FTP и т.п. Пользуясь только консолью, в частности для просмотра архивов, гораздо меньше шансов в такое попасть.

     
     
  • 5.33, Аноним (33), 17:15, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ясно. Спасибо. Правда не понимаю почему вы думаете что взлом произошёл через
    > SSH, который с точки зрения безопасности штука очень надёжная.

    1) Только если пароль надежный.
    2) Ключи одно время оптом перло малваре на JS :D :D :D запускаемое через безопасТный просмотрщик PDF в файрфоксе, так что если кто не сменил ключи с тех пор - упс.
    3) Это Зенитар, содержащий систему как полный раздолбай. Он может просто скачать и установить какой-то трэш.

    Ну вот такой зеня linux-boss :)))

     
  • 2.20, InuYasha (??), 12:47, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>Интерфейс GTK2

    Потому и не кусают \(o_O)/

     
  • 2.30, Аноним (28), 17:07, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Про Eset. Пользуюсь их антивирусом для Linux Desktop с 2017 года.

    Но нафига? Чтобы вирус в линя припер своим ходом - надо хз что сделать, типа вывешивания вордпресса с дырявым плагином в интернет.

    Врпочем это зенитар, его с винды никак не попустит. А может он флатпаки с левых сайтов качает.

     

  • 1.19, InuYasha (??), 12:44, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В вайфае со всех сторон уже столько дыр, что его не то что использовать - включать страшно. )
     
     
  • 2.23, Zenitur (ok), 13:18, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если максимально параноить Берёшь Raspberry Pi первой модели чтобы наиболее эк... большой текст свёрнут, показать
     
     
  • 3.24, ыы (?), 16:29, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Raspberry Pi первой модели

    и обнаруживаешь что как шлюз wi-fi - ethernet он полное га.но.

     
     
  • 4.31, Аноним (28), 17:09, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и обнаруживаешь что как шлюз wi-fi - ethernet он полное га.но.

    4-й уже не такое жоское г как предыдущие. Там вроде додумались эзернет менее погано приделать.

    А так еще есть всякие апельсины. Минимальный стоит аж $10.

     
     
  • 5.35, ыы (?), 17:56, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в апельсинах вайфай вообще косметическая опция.
     
     
  • 6.39, Аноним (39), 22:58, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так они и не заточены для точки доступа. Если заработает - удача, хотя нафиг такая удача сдалась - получите максимум g. Желаю счастья в переборе донглов.
     
  • 3.36, InuYasha (??), 20:21, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько ж ты накрутил! А я ведь всего-то хотел - отказаться от радиосвязи. o_O
    Я бы дописал: tl;dr распечатай на 4D-принтере себе новый мир.
     
  • 3.42, Аноним (8), 05:42, 11/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вот ты любитель потр*х*ться... Возьми сразу апельсинку, у которой на борту и сим, и блюпуп, и вифи.
     

  • 1.25, Аноним (25), 16:30, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, пожалуйста, какой телефон сейчас лучше покупать. Всё, что я рассматривал до этого момента идёт с Qualcomm.
     
     
  • 2.32, Аноним (33), 17:11, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Подскажите, пожалуйста, какой телефон сейчас лучше покупать. Всё, что я рассматривал до
    > этого момента идёт с Qualcomm.

    Вон тот из соседней новости, без андроида. А то андроид и софт под него сами по себе одна большая уязвимость :). Простите, если у вас телефон слил "резервную копию" пароля от точки доступа на сервак гугла - плюс-минус пара расшифрованых пакетов не такая уж и большая проблема.

     
     
  • 3.37, Атон (?), 20:41, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Подскажите, пожалуйста, какой телефон сейчас лучше покупать.
    > Вон тот из соседней новости про интел,
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру