Прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.
Дослідники безпеки з компанії ESET виявили небезпечну уразливість (CVE-2019-15126) в широко використовуваних Wi-Fi-чипах від Broadcom і Cypress. Проблема зачіпає понад мільярд пристроїв, включаючи смартфони, планшети, ноутбуки, маршрутизатори і IoT-пристрої. Уразливість отримала назву Kr00k і її експлуатація дозволяє віддаленим зловмисникам перехоплювати і дешифрувати деякі бездротові мережні пакети, що передаються вразливим пристроєм.
Уразливість зачіпає пристрої, що використовують протоколи WPA2-Personal або WPA2-Enterprise з алгоритмом шифрування AES-CCMP, але не пристрої, що використовують протокол WPA3. Для здійснення атаки не потрібне підключення до бездротової мережі. За словами фахівців, до ризику атак схильні продукти Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (RedMi), а також точки доступу від Asus і Huawei.
Як зазначається, за допомогою Kr00k зловмисник не зможе провести MitM-атаку або дізнатися пароль від Wi-Fi-мережі. Крім того, уразливість дозволяє скомпрометувати шифрування на бездротовому рівні, але не має відношення до TLS-шифрування, що забезпечує безпеку мережевого трафіку.
Уразливість Kr00k в деякій мірі пов’язана з атакою реінсталяціі ключів (Key Reinstallation Attack, KRACK ), що дозволяє зловмисникам зламувати паролі Wi-Fi, захищені WPA2-протоколом.
Суть експлуатації уразливості Kr00k полягає в наступному: коли пристрій раптово від’єднується від бездротової мережі, Wi-Fi-чип очищає сесійний ключ у пам’яті і встановлює його значення “0”, але при цьому ненавмисно продовжує передавати всі дані, що залишилися в буфері. Таким чином, зловмисник, що знаходиться в безпосередній близькості від пристрою, може використовувати цю уразливість для багаторазового ініціювання роз’єднання, відправляючи пакети деаутентіфікаціі по бездротовій мережі для перехоплення більшої кількості даних (в тому числі DNS, ARP, ICMP, HTTP, TCP і TLS-пакетів) .
Дослідники ESET повідомили про виявлену проблему виробникам уразливих чипів Broadcom і Cypress в минулому році. Компанії Broadcom і Cypress вже випустили відповідне оновлення прошивки. Apple виправила уразливість в версії iOS 13.2, iPadOS 13.2 і macOS Catalina 10.15.1. Інші виробники працюють над вирішенням проблеми.
Нагадуємо, офіційний додаток Firefox Private Network VPN для Android вже доступний для завантаження в Google Play, хоча сам VPN-сервіс знаходиться в статусі закритого бета-тестування.
Також двоє 31-річних мешканців Харківщини за допомогою активного сканування сайту на вразливість із використанням спеціалізованого програмного забезпечення та засобів анонімізації здійснювали несанкціоновані втручання в роботу сайтів конкурентів та отримували доступ баз даних.
Зверніть увагу, кільця з NFC-чипом стали доступними для власників карток Visa, випущених державним “Ощадбанком”. Клієнти банку отримали можливість користувтаися технологічною новинкою, за яку доведеться викласти 3,5 тисячі гривень.
До речі, за допомогою TensorFlow.js можна в режимі реального часу “стерти” людини в кадрі, при цьому вся навколишня його обстановка залишається колишньою.
Окрім цього, Google надає користувачам можливість синхронізувати паролі при авторизації в облікового запису, проте в майбутньому в браузері Chrome можуть з’явитися додаткові налаштування контролю, які дозволять користувачам вибирати, які паролі і де потрібно зберігати – локально на пристрої, в хмарі або в обліковому записі Google.