Oltre 1 miliardo di device iOS e Android affetti da vulnerabilità del chip Wi-Fi, tra cui iPhone XR e Galaxy S8

Lorenzo Delli -

Oltre un miliardo di dispositivi, tra cui si annoverano smartphone e tablet Android, iPhone, iPad e persino speaker smart di Amazon, Raspberry e access point di ASUS e Huawei, sono affetti da una vulnerabilità del chip Wi-Fi di cui sono dotati. E le stime sono “conservative”: i dispositivi effettivamente coinvolti potrebbero essere molti di più. A quanto pare un hacker a conoscenza di tale vulnerabilità potrebbe decrittare i dati inviati a tali dispositivi anche nel caso appunto si trattasse di dati opportunamente criptati. Non solo: il problema riguarda sia il protocollo di sicurezza WPA2-Personal (ovvero per le reti domestiche o di piccole società) che il WPA2-Enterprise.

La vulnerabilità risale ad una serie di chip Wi-Fi prodotti da Cypress Semiconductor e Broadcom. Tra l’altro la divisione Wi-Fi di Broadcom è stata acquista da Cypress nel 2016. La vulnerabilità è stata scoperta da ESET, la società slovacca che si occupa proprio di sicurezza digitale, ed è stata soprannominata KrOOk. Qui il report completo diffuso proprio da ESET. Il report non è chiarissimo a riguardo del modello o dei modelli di chip affetti dal problema. Si cita esplicitamente il chip CYW4356 (qui dettagli sul modello). Più avanti nel report si legge anche che si tratta dei chip FullMAC WLAN che, ribadisce ESET, hanno un’ampia diffusione in tutto il mercato. Quelli prodotti da Cypress sono maggiormente impiegati nel campo dell’IoT.

A quanto pare i produttori coinvolti avrebbero già preparato delle patch per risolvere il problema, ma non è chiaro come verranno diffuse. Non c’è una vera e propria lista completa dei dispositivi su cui sono impiegati i chip affetti dalla vulnerabilità KrOOk, ma ESET ha comunque condotto una serie di test di laboratorio che ha coinvolto i prodotti elencati qui di seguito, tutti colpiti dalla vulnerabilità di cui vi stiamo parlando:

  • Amazon Echo 2° generazione
  • Amazon Kindle 8° generazione
  • Apple iPad mini 2
  • Apple iPhone 6
  • Apple iPhone 6S
  • Apple iPhone 8
  • Apple iPhone XR
  • Apple MacBook
  • Apple iPad Air
  • Google Nexus 5
  • Google Nexus 6
  • Google Nexus 6P
  • Raspberry Pi 3
  • Samsung Galaxy S4
  • Samsung Galaxy S8
  • Xiaomi Redmi 3S

Come già specificato si tratta di dispositivi che ESET aveva effettivamente a disposizione. La lista è quindi parziale. Per quanto riguarda gli access point invece la lista (sempre parziale) redatta da ESET è la seguente:

  • Asus RT-N12
  • Huawei B612S-25d
  • Huawei EchoLife HG8245H
  • Huawei E5577Cs-321

ESET specifica comunque che sarà sufficiente una patch o comunque una versione correttiva dell’OS corrente per chiudere la vulnerabilità. Router e dispositivi IoT richiederanno ovviamente aggiornamenti firmware ad-hoc.

Aggiornamento

Abbiamo parlato della notizia anche nel nostro podcast, SmartWorld News.

Via: PhoneArenaFonte: ESET
  • Ciaoiphone4

    Da iOS 13.2 in poi lo hanno già risolto, mentre sui dispositivi con iOS 12, lo hanno risolto dalla versione 12.4.3. Mentre per i mac da macOS 10.15.1
    Tutte versioni rilasciate il 28 ottobre 2019.