folienfeuer - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Dispositivos de consumo de Amazon vulnerables a exploit de hace dos años

Millones de dispositivos antiguos de Amazon Echo y Kindle todavía son susceptibles a una vulnerabilidad de Wi-Fi que se reveló por primera vez en 2017.

Investigadores de amenazas del especialista eslovaco en antivirus y firewall ESET han advertido sobre una vulnerabilidad continua en los dispositivos Amazon Echo de primera generación y Amazon Kindle de octava generación que los deja abiertos para ser explotados por el exploit de Wi-Fi Key Reinstallation Attack (Krack), y sugiere que millones de clientes de Amazon no tienen sus dispositivos actualizados.

Inicialmente identificado por un investigador de seguridad belga en 2017, la vulnerabilidad de Krack es particularmente preocupante porque, en lugar de afectar a los enrutadores o dispositivos del usuario final, explota el estándar de seguridad inalámbrica WPA2.

Un ataque de Krack apunta al apretón de manos de cuatro vías en el protocolo WPA2 que se ejecuta cuando un dispositivo cliente intenta unirse a una red Wi-Fi protegida. Este apretón de manos confirma que tanto el dispositivo como el punto de acceso tienen las credenciales correctas y negocia una nueva clave para cifrar el tráfico de la sesión.

La vulnerabilidad permite que estos apretones de manos sean manipulados y reproducidos para que un atacante pueda engañar a un dispositivo para que reinstale una clave que ya está en uso. De esta manera, pueden obtener visibilidad de los datos que transitan por la red Wi-Fi.

Después de su descubrimiento, la comunidad de seguridad emitió mensajes mixtos sobre qué tan grave es la falla de Krack. En ese momento, se observó ampliamente que nadie lo había explotado, en parte porque una explotación exitosa depende de que el atacante esté dentro del alcance de la red Wi-Fi.

Además, se reparó fácilmente y cuando se divulgó públicamente los fabricantes de dispositivos ya habían estado trabajando en soluciones durante algunos meses.

Esto hace que su existencia continua en los dispositivos de Amazon sea particularmente preocupante, según Boris Cipot, ingeniero de seguridad senior de Synopsys. «La vulnerabilidad de Krack es una falla bastante problemática que permite a los atacantes observar datos que anteriormente se suponía que estaban protegidos, cuando un usuario está conectado a Wi-Fi», dijo.

ESET reveló la existencia continua de las fallas en los dispositivos Echo y Kindle a Amazon hace 12 meses, y se emitió un parche a principios de 2019.

El investigador de ESET, Miloš Čermák, dijo: «En los últimos años, cientos de millones de hogares se han vuelto más inteligentes y habilitados para internet a través de uno de los muchos dispositivos populares de asistencia para el hogar disponibles en el mercado. A pesar de los esfuerzos de algunos proveedores para desarrollar estos dispositivos teniendo en cuenta la seguridad, a menudo siguen siendo vulnerables».

«Identificamos múltiples fallas en al menos tres dispositivos de Amazon, lo que podría haber planteado un riesgo de seguridad de gran alcance debido a la cantidad que se vendió».

El jefe de seguridad de Cybereason, Sam Curry, agregó: «Amazon Echo, Kindle y toda la suite de automatización del hogar de Amazon se encuentra en la intersección de nuestras vidas personales y digitales. Todavía se están descubriendo las implicaciones en el hogar y en el trabajo y cómo acomodar estos dispositivos de manera segura. El rastreo, la intercepción y el secuestro de Wi-Fi no son nada nuevo, pero este último desarrollo puede tener más implicaciones que simplemente husmear en sus hábitos de lectura de Kindle».

«Tenga en cuenta que las empresas tienen relaciones comerciales con AWS y su identidad de Amazon a menudo está vinculada a su hogar, sus cuentas bancarias y tarjetas de crédito. Es una buena idea que Amazon piense detenidamente sobre todos sus componentes comunes y este uso lo antes posible».

Cipot de Synopsys dijo: «Para verificar si el parche se ha instalado correctamente en su Echo, puede pedirle a Alexa que ‹verifique las actualizaciones de software›. Al hacerlo, Alexa verificará si su dispositivo tiene instaladas las últimas actualizaciones de software. También puede llevarlo a cabo manualmente yendo a su aplicación Alexa, en ‹Dispositivos›, donde puede seleccionar sus dispositivos Echo. Desde allí, en ‹Acerca de›, puede leer sobre la información de software más reciente pertinente a su dispositivo. La última versión disponible es 641571120».

«Para comprobar si el parche se ha instalado correctamente en su Kindle, desde su pantalla de inicio, vaya a ‹Configuración› y haga clic en el botón de menú para abrir la información del dispositivo. Debe tener instalada la última versión (5.12.1) en su dispositivo. De lo contrario, debe instalar esta versión específica de inmediato para asegurarse que su dispositivo no sea susceptible a Krack u otras vulnerabilidades potenciales que se hayan resuelto con esta actualización».

Además de la vulnerabilidad Krack, el equipo de investigación de ESET descubrió una vulnerabilidad no relacionada en los dispositivos Echo que dejó a los usuarios expuestos a un ataque de repetición de transmisión, que es donde el dispositivo objetivo repite y acepta de forma fraudulenta una transmisión válida. Se puede abusar de estos ataques para lanzar ataques distribuidos de denegación de servicio (DDoS) o recolectar paquetes para futuros ataques de fuerza bruta.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close