Husk Krack sårbarheder?
Sårbarhederne blev afdækket i 2017 når et hold af eksperter manipuleret en farlig udnytte kaldt den Krack Attack som gør det muligt for hackere at aflytte trådløs trafik mellem computere og andre netværksenheder som routere og adgangspunkter.
Amazon Echo og Kindle Sårbar til Krack Sårbarheder
Det viser sig, at Amazon Echo har været åben for Krack sårbarheder. Mindst en generation af de udbredte Amazon Kindle e-læsere blev også påvirket, i henhold til sikkerhedseksperter hos ESET.
Selv to år efter sårbarheder blev omtalt, mange Wi-Fi-enheder er stadig sårbar, herunder flere Amazon-enheder såsom udbredte Amazon Echo og Amazon Kindle. Den enorme userbase af disse enheder skabte en stor sikkerhedstrussel.
For at nå disse konklusioner, forskerne testede den første generation af Amazon Echo, som er den oprindelige hardware Amazon Alexa, og den 8. generation af Amazon Kindle. Testene blev designet til at bestemme enhederne modstandskraft mod de forskellige Krack angreb ved hjælp af Vanhoef scripts.
Resultaterne viste, at den første generation af Echo samt den 8. generation af Kindle-enheder var sårbare over for Krack fejl.
Brug Vanhoef scripts, forskerne “var i stand til at replikere genoptagelse af parvise krypteringsnøgle (PTK-TK) i fire-vejs håndtryk (CVE-2017-13.077) og geninstallation af gruppetasten (GTK) i fire-vejs håndtryk (CVE-2017-13.078)“.
Heldigvis, sikkerhedsteamet kom i kontakt med Amazon kort tid efter deres opdagelse. Dette var i oktober, 2018. Amazon erkendte hurtigt problemerne ved at replikere dem, og beskadigede område, som vil blive distribueret til brugere i de kommende uger.
Mere specifikt, addresse CVE-2017-13.077 og CVE-2017-13078 sårbarheder i flere millioner Echo første generation og Amazon Kindle 8. generation enheder, Amazon udstedt og distribueret en ny version af wpa_supplicant, der er et program på klientenheden ansvarlig for korrekt autentificering til Wi-Fi-netværk.
Det er bemærkelsesværdigt, at i august, 2017, sikkerhedseksperter fra MWR Labs var i stand til at demonstrere proof of concept kode mod Amazon Echo enheder. Holdet var i stand til at demonstrere, hvordan en potentiel Amazon Echo malware kan bruges til at spionere på brugerne og udføre andre relaterede ondsindede handlinger. Dette var muligt på grund af en usikker hardware implementering - adgang var mulig gennem udsatte debug pads og enheden tilladt opstart fra eksterne lagringsenheder.