Vulnerabilità Kr00k, tutto quello che devi sapere sull’attacco

Nel vasto panorama delle minacce informatiche, la vulnerabilità Kr00k (CVE-2019-15126) rappresenta una delle sfide più significative che colpisce dispositivi che diffondono il segnale Wi-Fi. La vulnerabilità viene scoperta nel 2019 dai ricercatori di sicurezza di ESET. SI tratta di una pericolosa falla di sicurezza che riguarda i microchip Wi-Fi prodotti da Broadcom e Cypress, utilizzati in una vasta gamma di dispositivi, tra cui:

• smartphone
• tablet
• laptop
• router
• dispositivi IoT.

Kr00k consente agli aggressori di intercettare e decrittografare il traffico Wi-Fi, compromettendo gravemente la privacy e la sicurezza degli utenti.
In questo articolo, esploreremo in dettaglio le caratteristiche della vulnerabilità Kr00k, analizzeremo il suo impatto sul panorama della sicurezza informatica e discuteremo le misure di mitigazione adottate dai produttori e gli utenti per proteggere i loro dispositivi e reti.

Cos’è la vulnerabilità Kr00k?

La vulnerabilità Kr00k è una falla di sicurezza che colpisce i chip Wi-Fi di Broadcom e Cypress. Queste componenti vengono utilizzate a bordo di miliardi di dispositivi in tutto il mondo. Grazie a Kr00k, i malintenzionati intercettano e decifrano i dati sensibili trasmessi tramite Wi-Fi, che appunto viene utilizzata per connettere i dispositivi, tra cui password, e-mail e altri dati personali. Il nome di questa nuova vulnerabilità, Kr00k, è collegata alla famosa tecnica di attacco KRACK (Key Reinstallation AttaCK) scoperta nel 2017 che consentiva di aggirare il sistema di crittografia del protocollo WPA2.

Come funziona la vulnerabilità Kr00k?

Ecco quali sono i passaggi che portano allo sfruttamento della vulnerabilità e al conseguente attacco Kr00k.

• Un dispositivo wireless perde la connessione con un punto di accesso, ad esempio a causa di interferenze, spegnimento improvviso o volontario del dispositivo, o segnale debole.
• In questi casi, il protocollo WPA2 è progettato per continuare a trasmettere una parte dei dati già trasmessi attraverso un buffer protetto da una chiave crittografica composta da una sequenza di soli zeri.
• I cyber criminali, che conoscono questa chiave di crittografia, possono intercettare e decifrare questa parte del traffico di rete, anche sfruttando software specifici per decifrarli. Tutto questo, senza neanche sfruttare la connessione.
• Anche se questi dati sono solo di pochi kb, se un aggressore ripete questo attacco, diventa sempre più pericoloso e in grado di rubarci sempre più informazioni importanti.

Tuttavia, affinché l’attacco sia verificabile, l’hacker deve essere vicino alla vittima. L’intercettazione della comunicazione, di un dispositivo privo di patch, risulta un gioco da ragazzi per la maggioranza dei malintenzionati, soprattutto dalle nuove leve. Pertanto, un aggressore nelle vicinanze di un dispositivo vulnerabile può sfruttare questa falla per attivare ripetutamente l’associazione, tramite due modalità:

• Inviando pacchetti di de-autenticazione in modalità wireless;
• Catturando più frame di dati che possono contenere dati sensibili come pacchetti DNS, ARP, ICMP, HTTP, TCP e TLS.

Dispositivi a rischio di attacco Kr00k

La vulnerabilità Kr00k colpisce principalmente i dispositivi che utilizzano i chipset Wi-Fi Broadcom e Cypress, due dei più grandi produttori di chip Wi-Fi al mondo. Essendo diffusi in una vasta gamma di dispositivi, è difficile fornire un elenco completo di tutti i modelli vulnerabili. Tuttavia, posso elencare alcuni dei dispositivi più popolari e noti che sono stati confermati come vulnerabili alla Kr00k:

1. Smartphone e tablet:
   • Apple iPhone (6, 6S, 8, X, XR, XS, 11, e altri modelli precedenti al 2021)
   • Apple iPad (Pro, Air, Mini, e altri modelli precedenti al 2021)
   • Samsung Galaxy (S8, S9, S10, Note 8, Note 9, e altri modelli precedenti al 2021)
   • Google Nexus (5, 6, 6P)
   • Google Pixel (1, 2, 3, 3a)
2. Laptop:
   • Apple MacBook (Air, Pro, e altri modelli precedenti al 2021)
   • Asus, Acer, Dell, HP, Lenovo e altri laptop che utilizzano chipset Broadcom o Cypress
3. Router:
   • ASUS (RT-AC68U, RT-AC86U e altri modelli)
   • Netgear (R6250, R6400, R6700, R7000, R8000, R9000 e altri modelli)
   • Linksys (EA6900, EA7500, EA8300, EA8500, EA9200, EA9400, EA9500 e altri modelli)
4. Dispositivi IoT:
   • Amazon Echo (1ª, 2ª, 3ª generazione)
   • Amazon Kindle (8ª, 9ª, 10ª generazione)
   • Dispositivi smart home e altri prodotti IoT che utilizzano chipset Broadcom o Cypress

Si noti che questo elenco non è esaustivo e molti altri dispositivi potrebbero essere vulnerabili alla minaccia.

Come rilevare e risolvere la vulnerabilità Kr00k

Fortunatamente, la vulnerabilità Kr00k possiamo rivelarla tramite un software specializzato in analisi traffico Wi-Fi, in grado di capire in tempo se il vostro dispositivo è a rischio. In caso di risposta affermativa, può avvisarvi di prendere provvedimenti. Nel frattempo, i produttori di chip hanno rilasciato patch di sicurezza con l’obiettivo di diventare immuni da Kr00k il più presto possibile, esortando i clienti a non ignorare le richieste di aggiornamento, essenziale per non solo proteggersi dall’attacco ma anche da altre minacce di sicurezza informatica.

Soprattutto, non bisogna mai ignorare l’ipotesi che Kr00k venga ripresa e evoluta a tal punto di prendere di mira altri dispositivi, per questo motivo vi consigliamo sempre di tenervi aggiornati. Inoltre, possiamo adattare queste misure di prevenzione per proteggere i nostri dispositivi da Kr00k.

• Cambia le credenziali predefinite del router: modifica il nome utente e la password predefiniti del tuo router per evitare accessi non autorizzati. Utilizza una combinazione di lettere maiuscole e minuscole, numeri e simboli per creare una password robusta.
• Crittografia Wi-Fi: utilizza la crittografia WPA3, se disponibile sul tuo router, in quanto offre una protezione migliore rispetto a WPA2. Se il tuo dispositivo supporta solo WPA2, assicurati di utilizzare WPA2-PSK (AES) e non WPA2-PSK (TKIP), che è meno sicuro.
• Rete ospiti: configura una rete Wi-Fi separata per gli ospiti, in modo che non abbiano accesso ai dispositivi connessi alla tua rete principale. Questo può aiutare a limitare il potenziale impatto di una violazione della sicurezza.
• Disabilita l’accesso remoto al router: se non ne hai bisogno, disabilita l’accesso remoto al tuo router per ridurre il rischio di attacchi da remoto.
• Firewall e antivirus: assicurati di avere un firewall attivo sul tuo router e sui dispositivi connessi, e utilizza un software antivirus aggiornato per proteggere i tuoi dispositivi da malware e altre minacce.
• Monitoraggio del traffico di rete: utilizza strumenti di monitoraggio del traffico di rete per controllare eventuali attività sospette o non autorizzate sulla tua rete.
• Collegamenti cablati: se possibile, utilizza connessioni Ethernet cablate per i dispositivi critici o sensibili, in quanto offrono una maggiore sicurezza rispetto alle connessioni Wi-Fi.