Rappelez-vous les vulnérabilités Krack?
Les vulnérabilités ont été découvertes dans 2017 quand une équipe d'experts a conçu une dangereuse appelée exploit l'attaque Krack qui permet aux utilisateurs malveillants d'espionner le trafic Wi-Fi entre les ordinateurs et autres périphériques réseau tels que les routeurs et points d'accès.
Amazon Echo et Kindle vulnérable à KRACK Vulnérabilités
Il se trouve que Amazon Echo a été ouvert aux vulnérabilités Krack. Au moins une génération des e-readers Amazon Kindle largement utilisés ont également été touchés, selon les chercheurs de sécurité à ESET.
Même deux ans après les vulnérabilités ont été divulgués, de nombreux appareils compatibles Wi-Fi sont encore vulnérables, y compris plusieurs périphériques Amazon tels que l'Amazone Echo largement adopté et le Kindle d'Amazon. L'énorme base d'utilisateurs de ces appareils a créé une grande menace pour la sécurité.
Pour parvenir à ces conclusions, les chercheurs ont testé la première génération d'Amazon Echo, qui est le matériel d'origine d'Amazon Alexa, et la 8e génération d'Amazon Kindle. Les tests ont été conçus pour déterminer la résistance des dispositifs contre les diverses attaques Krack en utilisant les scripts de Vanhoef.
Les résultats ont révélé que la première génération d'Echo ainsi que la 8e génération de dispositifs Kindle étaient vulnérables aux défauts de Krack.
Utilisation des scripts de Vanhoef, les chercheurs “ont pu reproduire la réinstallation de la clé de chiffrement par paires (PTK-TK) dans la poignée de main à quatre voies (CVE-2017-13077) et la reinstallation de la clé de groupe (GTK) dans la poignée de main à quatre voies (CVE-2017-13078)“.
Heureusement, l'équipe de sécurité est entré en contact avec Amazon peu après leur découverte. C'était en Octobre, 2018. Amazon a reconnu rapidement les problèmes en les reproduisant, et les patchs préparés qui seront distribués aux utilisateurs dans les semaines à venir.
Plus précisement, à adresse CVE-2017-13077 et CVE-2017-13078 vulnérabilités dans plusieurs millions d'Echo de première génération et les appareils 8 génération Amazon Kindle, Amazon a publié et distribué une nouvelle version du wpa_supplicant, qui est une application logicielle sur le dispositif client responsable pour l'authentification correcte au réseau Wi-Fi.
Il est à noter que, en Août, 2017, les chercheurs en sécurité de MWR Labs ont pu démontrer la preuve de concept de code contre les dispositifs Amazon Echo. L'équipe a pu montrer comment un potentiel logiciels malveillants Amazon Echo peut être utilisé pour espionner les utilisateurs et effectuer d'autres actions malveillantes liées. Cela a été possible en raison d'une mise en œuvre matérielle précaire - l'accès est possible grâce à des tampons de débogage exposés, et le dispositif a permis le démarrage à partir de périphériques de stockage externes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: