Une faille Wi-Fi impacte plus d'un milliard de téléphones

Par:
fredericmazue

ven, 28/02/2020 - 16:22

La société de sécurité Eset a publié un rapport au sujet de cette faille baptisée Kr00k. Cette faille est liée à un défaut des puces Wi-Fi fabriquées par Broadcom et Cypress. Les puces fabriquées par Cypress équipent de très nombreux IoT.

La vulnérabilté Kr00k peut être exploitée lorsqu'un appareil mobile est dissocié d'une connexion Wi-Fi. Les attaquants peuvent forcer une connexion Wi-Fi à être dissociée sur un appareil, ce qui entraîne l'envoi de données non envoyées par voie hertzienne. Même si le cryptage était utilisé lorsque le Wi-Fi était connecté, les données envoyées par voie hertzienne par un appareil vulnérable utilisent une clé de cryptage composée uniquement de zéros, ce qui permet à un attaquant de décrypter facilement les données sensibles.

Eset a testé de nombreux appareils, mais ne peut bien sûr pas les tester tous. Eset estime qu'un milliard d'appareil au bas mot sont concernés. Sont au moins vulnérables :

  • Amazon Echo 2e génération
  • Amazon Kindle 8e génération
  • Apple iPad mini 2
  • Apple iPhone 6
  • Apple iPhone 6S
  • Apple iPhone 8
  • Apple iPhone XR
  • Apple MacBook
  • Apple iPad Air 
  • Google Nexus 5
  • Google Nexus 6
  • Google Nexus 6P
  • Raspberry Pi 3
  • Samsung Galaxy S4
  • Samsung Galaxy S8
  • Xiaomi Redmi 3S

De nombreux constructeurs de téléphones ont déjà publiés des correctifs sous la forme de mises à jour système. Des mises à jour qu'il convient d'appliquer immédiatement.

Source : phonearena.com