超过10亿iOS和安卓设备受Wi-Fi芯片缺陷影响
与无线芯片相关的漏洞已经影响了数十亿台设备,包括iPhone和安卓手机。攻击者可以解密发送到受影响手机的数据,即使数据是加密发送的。这个问题可以追溯到赛普拉斯半导体和博通生产的Wi-Fi芯片。赛普拉斯实际上在2016年收购了博通的Wi-Fi业务。该漏洞影响WPA2个人和WPA2企业协议。
超过10亿台设备受到此漏洞的影响
除了iPhone和安卓手机,其他受此漏洞影响的设备还包括iPad平板电脑、Amazon Echo智能音箱和智能显示器、Kindle阅读器和平板电脑,以及华硕和华为生产的Wi-Fi路由器。该漏洞是由斯洛伐克安全公司Eset发现的,该公司将其命名为Kr00k,并于今天发布了一份报告。厂家提供了补丁来解决这个问题,但是不知道有多少人花时间加载。
易受攻击的设备传输加密数据,这些数据可以使用全零组成的密钥进行解密
Eset在报告中表示:“亚马逊(Echo、Kindle)、苹果(iPhone、iPad、MacBook)、谷歌(Nexus)、三星(Galaxy)、树莓(Pi 3)、小米(Redmi)以及部分访问权限都是保守估计。华硕和华为的无线接入点容易受到Kr ' k攻击。总的来说,设备。”仅受此漏洞影响的iPhone数量就超过10亿部。
Eset还指出,它已经测试了高通、Realtek、Ralink和Media生产的其他Wi-Fi芯片,在公司的组件中没有看到这个漏洞。这导致研究人员指出:“显然,我们还没有测试每个制造商所有可能的Wi-Fi芯片,因此尽管我们还不知道其他受影响的芯片,但我们不能排除这种情况。”
造成这一漏洞的Wi-Fi芯片由博通和赛普拉斯制造,市场份额巨大。Eset表示,前一种芯片用于大多数支持Wi-Fi的设备。赛普拉斯的芯片主要用于物联网设备。Eset在实验室测试的受影响设备包括:
亚马逊回声第二代
亚马逊Kindle第八代
IPad mini 2
苹果iPhone 6
苹果iPhone 6S
苹果iPhone 8
苹果iPhone XR
苹果机
苹果iPad Air
谷歌Nexus 5
谷歌Nexus 6
谷歌Nexus 6P
树莓皮3
三星银河S4
三星Galaxy S8
小米Redmi 3S
在报告的结论中,Eset指出,修复受影响的设备可能只意味着安装最新的操作系统更新。使用安卓或iOS手机的用户应该以这种方式处理此漏洞。路由器和一些物联网设备可能需要更新固件。需要注意的是,Eset向芯片制造商Broadcom和Cypress报告了该漏洞,并且还告诉了亚马逊。如果您有安卓或iOS手机,请确保您的设备运行的是最新的操作系统版本。
当移动设备与Wi-Fi断开连接时,KrOOK抬起头。当信号太低并且当前的无线连接暂时断开时,就会出现这种情况。虽然每天在设备上执行几次,但它通常会自动重新连接信号。攻击者可以强行断开设备上的Wi-Fi连接,导致未发送的数据通过空中发送出去。即使在连接到Wi-Fi时使用加密,易受攻击设备通过空中发送的数据也将使用全零组成的加密密钥,这使得攻击者更容易解密敏感数据。
标签: