亚马逊消费者的设备易受两岁的漏洞利用
斯洛伐克防病毒和防火墙专家ESET的威胁研究人员已经警告了第一代亚马逊回声和第八代亚马逊Kindle设备中的持续脆弱性,让他们开放,以便被关键重新安装攻击(Krack)Wi-Fi漏洞利用,并建议数百万亚马逊客户未能保持其设备最新。
最初由2017年的比利时安全研究员识别,Krack漏洞尤其涉及,而不是影响最终用户路由器或设备,它利用WPA2无线安全标准。
Krack攻击针对WPA2协议中的四路握手,当客户端设备尝试加入受保护的Wi-Fi网络时执行。此握手确认,设备和接入点都具有正确的凭据并协商新密钥以加密会话流量。
该漏洞使这些握手能够被操纵和重放,以便攻击者可以欺骗设备重新安装已使用的密钥。以这种方式,它们可以获得运输Wi-Fi网络的数据的可见性。
发现后,安全社区将混合信息展示了Krack缺陷的严重程度。当时,它被广泛注意到没有人在野外剥削它,部分原因是因为成功的漏洞依赖于攻击者在Wi-Fi网络范围内。
此外,它很容易修补,当公开披露时,设备制造商已经在几个月内完成了修复。
根据Synopsys的高级安全工程师,这使得其在亚马逊设备中的持续存在特别有关。“Krack漏洞是一种相当令人不安的缺陷,允许攻击者观察先前假定的数据,当用户连接到Wi-Fi时,”他说。
ESET披露了12个月前向亚马逊的回声和Kindle设备的缺陷存在,并在2019年早些时候发布了补丁。
ESET研究人员MilošČermák说:“近年来,数亿个房屋已经通过市场上众多热门家庭助理设备之一变得更聪明和互联网。尽管有些供应商的努力,请考虑到安全性,但它们往往仍然脆弱。
“我们在至少三个亚马逊设备中确定了多个缺陷,这可能由于它们已被销售的数字而构成了深远的安全风险。”
了解有关Krack漏洞的更多信息
Krack漏洞是在WPA2的无线网络协议中找到的,它使攻击者能够破解加密连接。了解它是如何从尼克刘易斯工作的。发现影响WPA2 Wi-Fi安全标准的漏洞的发现有人旋转。但它真的有多严重,以及你可以从克拉克袭击中保持网络安全的基本步骤?在本周的风险和重复播客中,搜索安全性编辑讨论漏洞营销,并比较最近的克拉克攻击和罗卡缺陷的宣传和促进。Cyber Aermeason首席安全官Sam Curry补充说:“亚马逊回声,Kindle和整个亚马逊家庭自动化套件坐在我们个人和数字生活中。仍然被发现,在家庭和工作中的影响以及如何安全地安全地容纳这一学说。Wi-Fi嗅探,拦截和劫持都没有新的,但这种最新的发展可能有更多的影响,而不是简单地窥探你的Kindle阅读习惯。
“请记住,企业对AWS和AMAXON身份有商业关系,通常与您的家,您的银行账户和信用卡相关联。亚马逊是一个好主意,仔细思考所有的共同组成部分,而且稍后才能思考。“
Synopsys的Cipot说:“要检查零件是否已在回声上成功安装了修补程序,可以要求Alexa”检查软件更新“。这样做,Alexa将检查您的设备是否已安装最新的软件更新。您也可以通过进入您的Alexa应用程序手动携带这一点,在您可以选择回声设备的“设备”。从那里,在“关于”下,您可以阅读关于与您的设备相关的最新软件信息。最新版本可用为641571120。
“要检查修补程序是否已在您的Kindle上成功安装,请从您的主屏幕上转到”设置“,然后单击菜单按钮以打开设备信息。您应该在您的设备上安装最新版本(5.12.1)。如果没有,您应该立即安装此特定版本,以确保您的设备不容易受到此更新已解决的krack或其他潜在漏洞。“
除了KRACK漏洞中,ESET的研究团队在呼应设备中发现了对广播重播攻击的呼应设备的无关漏洞,这是目标设备欺诈和接受有效传输的位置。这种攻击可以滥用,以推出分布式拒绝服务(DDOS)攻击或收集数据包以供未来的蛮力攻击。