Une faille Wi-Fi impacte plus d'un milliard de téléphones
ven, 28/02/2020 - 16:22
La société de sécurité Eset a publié un rapport au sujet de cette faille baptisée Kr00k. Cette faille est liée à un défaut des puces Wi-Fi fabriquées par Broadcom et Cypress. Les puces fabriquées par Cypress équipent de très nombreux IoT.
La vulnérabilté Kr00k peut être exploitée lorsqu'un appareil mobile est dissocié d'une connexion Wi-Fi. Les attaquants peuvent forcer une connexion Wi-Fi à être dissociée sur un appareil, ce qui entraîne l'envoi de données non envoyées par voie hertzienne. Même si le cryptage était utilisé lorsque le Wi-Fi était connecté, les données envoyées par voie hertzienne par un appareil vulnérable utilisent une clé de cryptage composée uniquement de zéros, ce qui permet à un attaquant de décrypter facilement les données sensibles.
Eset a testé de nombreux appareils, mais ne peut bien sûr pas les tester tous. Eset estime qu'un milliard d'appareil au bas mot sont concernés. Sont au moins vulnérables :
- Amazon Echo 2e génération
- Amazon Kindle 8e génération
- Apple iPad mini 2
- Apple iPhone 6
- Apple iPhone 6S
- Apple iPhone 8
- Apple iPhone XR
- Apple MacBook
- Apple iPad Air
- Google Nexus 5
- Google Nexus 6
- Google Nexus 6P
- Raspberry Pi 3
- Samsung Galaxy S4
- Samsung Galaxy S8
- Xiaomi Redmi 3S
De nombreux constructeurs de téléphones ont déjà publiés des correctifs sous la forme de mises à jour système. Des mises à jour qu'il convient d'appliquer immédiatement.
Source : phonearena.com