Kr00k: así actúa la nueva vulnerabilidad crítica en chips WiFi que compromete millones de dispositivos

Kr00k: así actúa la nueva vulnerabilidad crítica en chips WiFi que compromete millones de dispositivos
13 comentarios Facebook Twitter Flipboard E-mail

En octubre de 2017 se descubría un tipo de ataque llamado KRACK que ponía en peligro el protocolo WPA2. Ahora y relacionado con aquel llega Kr00k, una grave vulnerabilidad que afecta a todos los dispositivos con capacidad WiFi que utilicen chips de Broadcom y Cypress. Es decir, millones de dispositivos móviles de marcas tan populares como Apple, Samsung o Google, muchos de ellos ya sin soporte.

Kr00k ha sido detallado por investigadores de ESET y se ha compartido con la comunidad en la conferencia RSA 2020 de San Francisco. Según explican, la vulnerabilidad Kr00k puede ser aprovechada por los atacantes para interceptar y desencriptar el tráfico de redes WiFi basadas en WPA2, por lo que podrían "escuchar" todo el tráfico que pasa por los dispositivos afectados.

Un vistazo a…
Cómo mejorar la WiFi en casa

Cómo funciona la vulnerabilidad

La vulnerabilidad afecta a los dispositivos con chips de Broadcom y Cypress, dos de las marcas más populares del mundo y que podemos encontrar en millones de dispositivos, desde portátiles hasta todo tipo de smartphones, además de altavoces inteligentes u otros dispositivos IoT.

Kr00k, oficialmente CVE-2019-15126, es principalmente un bug, un error en los chips de estas dos importantes compañías. La relevancia es que afecta al cifrado utilizado para proteger los paquetes de datos enviados a través del WiFi.

Dissociacion

Los paquetes están cifrados con una clave única que depende de la contraseña establecida por el usuario. Pero según describen, durante un proceso de "disociación" se restablece a un valor todo cero. Ese proceso ocurre habitualmente cuando hay una señal de WiFi baja o algún problema. Es una desconexión temporal, pero lo habitual es que los dispositivos se configuren automáticamente para volver a conectarse a la red anterior. Pero según describe ESET, los atacantes pueden forzar a que los dispositivos estén en este estado disociado durante más tiempo y luego usar el error Kr00k para descifrar el tráfico WiFi usando la clave de cero.

Mientras KRACK afectaba al propio protocolo, Kr00k es una vulnerabilidad más específica y donde pese a afectar a millones de dispositivos, su solución es más sencilla. Estas son las diferencias entre KRACK y Kr00k, según explican los propios investigadores:

KRACK

Kr00k

KRACK, es un acrónimo, una serie de ataques - exploits.

Kr00k, por otro lado, es una vulnerabilidad - un error.

La idea básica de KRACK es que el número del paquete se reutiliza para conseguir la secuencia clave.

La idea principal de Kr00k es que los datos están cifrados con una clave temporal.

Se activa durante el '4-way handshake', el proceso de negociación del protocolo WPA2.

Se activa después de una disociación.

Afecta a la mayoría de los dispositivos con Wi-Fi, ya que explota fallas de implementación en el protocolo WPA2.

Afecta los chips de Wi-Fi más extendidos (Broadcom y Cypress).

A quién afecta

Wifi

La vulnerabilidad Kr00k afecta a aquellas conexiones WiFi que utilizan los protocolos de seguridad WPA2-Personal o WPA2-Enterprise WiFi, con encriptación AES-CCMP. Aquellos dispositivos con chipset Broadcom o Cypress que utilice el nuevo protocolo de autenticación WPA3 WiFi podrá protegerse. Sin embargo, hemos visto que este último tampoco está exento de sus propios problemas.

Entre los dispositivos afectados se encuentran smartphones de marcas como Apple, Samsung, Amazon o Google. Estos son los modelos con los que han probado la vulnerabilidad:

  • Amazon Echo 2ª gen
  • Amazon Kindle 8ª gen
  • Apple iPad mini 2
  • Apple iPhone 6, 6S, 8, XR
  • Apple MacBook Air Retina 13" 2018
  • Google Nexus 5
  • Google Nexus 6
  • Google Nexus 6S
  • Raspberry Pi 3
  • Samsung Galaxy S4 (GT-I9505)
  • Samsung Galaxy S8
  • Xiaomi Redmi 3S

Como podemos observar, se trata en su mayoría de móviles relativamente antiguos, con más de los 3 años de soporte habitual, pero que siguen siendo utilizados por muchos usuarios. Adicionalmente, Kr00k también afecta a modems WiFi entre los que se han encontrado vulnerables modelos como los Asus RT-N12 o Huawei B612S-25d. ESET explica que han testeado chips de otros fabricantes como Qualcomm, Realtek, Ralink o MediaTek pero no han encontrado esta vulnerabilidad.

Qué riesgos tiene para el usuario y qué se recomienda

Eset Kr00k

Como suele ocurrir cada vez que se habla de vulnerabilidades, la recomendación principal es mantener tu dispositivo actualizado. Las principales empresas afectadas son conscientes de la vulnerabilidad y han estado trabajando durante los últimos meses con los investigadores. "Los dispositivos deberían haber recibido parches para la vulnerabilidad en el momento de la publicación", explican.

"Dependiendo del tipo de dispositivo, esto solo puede significar asegurarse de que estén instaladas las últimas actualizaciones de SO o software (dispositivos Android, Apple y Windows; algunos dispositivos IoT), aunque puede requerir una actualización de firmware (puntos de acceso, enrutadores y algunos dispositivos IoT).", detallan desde ESET.

Para comprobar si tenemos nuestro dispositivo actualizado, habrá que revisar si la versión que tenemos instalada ha añadido las correcciones contra CVE-2019-15126. Esta información debe ser proporcionada por cada fabricante, aunque los modelos más recientes deberían estar protegidos según explican los investigadores. En concreto iOS 13.2, iPadOS 13.2 de octubre de 2019 y macOS Catalina 10.15.1 fueron actualizados añadiendo el parche contra esta vulnerabilidad.

Aunque no está de más cambiar la contraseña con cierta regularidad, la vulnerabilidad Kr00k no está vinculada a esta. Cambiarla no obstaculiza la capacidad de los atacantes. Sin embargo, es importante señalar para la tranquilidad de los usuarios que Kr00k no implica un compromiso total.

La vulnerabilidad puede ser utilizada para romper el cifrado de las comunicaciones WiFi y acceder al tráfico, pero únicamente se compromete el cifrado del chip del dispositivo. Aquel tráfico que esté cifrado a través de sitios HTTPS o Tor seguirán estando seguras pese a que los atacantes hayan realizado un ataque aprovechando Kr00k.

Imagen | Frank Wang

Comentarios cerrados
Inicio