shimiminの日記

IT系のメモ書きです。

Kr00k の解説

KRACKに続いて、WiFiのセキュリティにとって影響が大きいと言われる Kr00k について、RSAコンファレンスの講義を見てなるほどと思ったのでメモしておきます。

元ネタはこちら。

Kr00k: How KRACKing Amazon Echo Exposed a Billion+ Vulnerable WiFi Devices

https://www.rsaconference.com/usa/agenda/kr00k-how-kracking-amazon-echo-exposed-a-billion-vulnerable-wifi-devices

esetの公式はこんな感じですが、記述はあっさりです。

スマートフォンやルーターなど10億台以上のWi-Fi対応デバイスに影響する深刻な脆弱性「Kr00k」 | ESET

 

Kr00k は Disassociation frame を使った攻撃

 攻撃者は、ターゲットSTAやAPに向かって Disassociation frame を投げます。ターゲットを切断させる、という意味では昔からある Deauthentication 攻撃に似ていますが、動機が違うようです。

 Deauthentication攻撃は、Wikipediaによると下記が動機です。

  1. ターゲットSTAを、偽AP(Rogue AP)に誘導するため
  2. WPA 4-wayハンドシェイクの情報を集めるため

en.wikipedia.org

 一方、Kr00k は実データの収集が目的とのこと。Broadcom/Cypress のチップにはDisassociationフレームを受け取ったときに、送信キューにたまっていたデータを「全部ゼロの一時キー」で暗号化して送信してしまうバグ(仕様?)があるので、狙ったSTAに Disassociationフレームを送り付ければ、その時にキューにたまっていたデータが抜けるとのこと。

 チップ内にバッファリングされていて入手できるデータは数KBで、フラグメントに過ぎないですが、たくさん集めると有用な情報が取れる可能性がある、例えばWebのセッションIDが入手できればセッションハイジャックできるよね、とのことでした。

やはり https は基本かも

 eset では、影響は10億台にも及ぶ、と言っています。世代はわかりませんが、iPhone, MacBook, Google Nexus, Xiaomi Redmi, Amazon Echo2, Amazon Kindle8, ASUSHuaweiWiFiルータ、そしてラズパイ3が影響を受けるとのこと。ユーザとしては、頻繁に Disassociation フレームを受け取るようなことがあれば狙われている(かも)と思えば良さそう。

 しかし、考えてみたらデータが抜かれるといっても、httpsで暗号化してあれば問題ないですよね。セッションIDが生で流れることって普通なのでしょうか?その辺、ちょっと詳しく知りたくなりました。

RSAC2020、面白いですね

 ほかにもたくさん面白いムービーが視聴できるので、ちょこちょこ勉強していこうと思います。

https://www.rsaconference.com/