Amazon Echo en Kindle waren kwetsbaar voor oude wpa2-hack

Verschillende Amazon-apparaten, zoals de slimme Echo-speakers en Kindles, waren tot voor kort kwetsbaar voor wifiaanvallen die al in 2017 bekend waren. Er is inmiddels een patch beschikbaar om het lek te dichten.

Onderzoekers van ESET vonden de kwetsbaarheden in ieder geval in de eerste generatie Amazon Echo-speakers en in de achtste generatie Kindles. Hoeveel daarvan in Nederland zijn verkocht, is niet bekend; zeker de oude Echo-speakers waren voornamelijk populair in Amerika. Aanvallers konden het lek uitbuiten om zo data te ontsleutelen, en wachtwoorden en sessiecookies te onderscheppen.

De apparaten waren kwetsbaar voor de Krack-kwetsbaarheid. Die stamt uit 2017. Met die key reinstallation attacks kunnen aanvallers wifiverkeer aflezen dat met wpa2 is versleuteld. De onderzoekers maakten specifiek gebruik van twee kwetsbaarheden in de manieren waarop de pairwise-sleutel en de groepssleutel in de four-way handshake werden opgezet. Zo wisten zij de sleutels te herinstalleren om zo de communicatie af te luisteren. Daarnaast vonden de onderzoeker een andere kwetsbaarheid die niet aan KRACK gerelateerd was. Daarbij was het mogelijk een denial-of-service-aanval uit te voeren op het apparaat.

Omdat het lek inmiddels al meer dan twee jaar oud is, is het in de meeste apparaten wel gerepareerd. ESET bracht Amazon in oktober vorig jaar op de hoogte van het lek. Inmiddels is er een update uit voor de apparaten. Amazon heeft een nieuwe versie van wpa_supplicant uitgebracht. Gebruikers moeten die wel zelf nog updaten.

Door Tijs Hofmans

Nieuwscoördinator

17-10-2019 • 12:00

8

Reacties (8)

Sorteer op:

Weergave:

"Inmiddels is er een update uit voor de apparaten. Amazon heeft een nieuwe versie van wpa_supplicant uitgebracht. Gebruikers moeten die wel zelf nog updaten."

Daar heb je dus een probleem. De meeste mensen zullen dat dus niet doen: omdat ze niet weten hoe, te lui zijn of het niet nodig vinden.
Uit het gerelateerde artikel blijkt dat Amazon het naar gebruikers distribueert:
On January 8th, 2019 ESET received confirmation that Amazon’s security team had replicated the reported issues, prepared patches and would be distributing them to users in the forthcoming weeks.
Ja, huh... Is gewoon de update installeren niet voldoende? Je moet als gebruiker zelf aan de slag met wpa_supplicant? Lijkt me een erg vreemd verhaal.
Omdat het lek inmiddels al meer dan twee jaar oud is, is het in de meeste apparaten wel gerepareerd.
/s ? ;)

Nieuwe apparaten misschien, en apparatuur met een updatebeleid van een paar jaar die daar net in binnen vallen, maar het gros van het WPA2 apparatuur (denk dan ook aan WiFi-routers/-repeaters, draadloze IP-cameras, en IOT spul) zien echter geen update en blijven zo lek als een mand.

Laat staan de wildgroei aan unsupported Android spul.

[Reactie gewijzigd door SirNobax op 22 juli 2024 14:01]

Het betreft inderdaad (voornamelijk) oude netwerk apparatuur. Maar daaronder valt bijvoorbeeld ook een Wi-Fi range extender die ik eerder dit jaar van mijn ISP kreeg. Dat ding van TP-Link (RE200) is al jaren op de markt en TP-Link biedt (inmiddels...) via hun website ook een patch aan voor het zgn. WPA2 Krack issue. Die update wordt er echter niet automatisch opgezet en vergt enige handmatige acties. Dat is allemaal geen rocket science, maar de ISP in kwestie wijst daar niet op. En zeker voor zo'n plug & play device lijkt mij dat wel verstandig. Want juist dit soort low tech oplossingen worden veelvuldig achteloos aan een netwerk gehangen door "de gemiddelde consument".
ISP in kwestie. Over welke heb je het ?
NLEx, die sinds afgelopen zondag verder is gegaan onder de naam Budget Alles-in-1, wat weer onderdeel is van Budget Energie. Laatst genoemde heeft namelijk NLE overgenomen, waar NLEx onder viel. Helder, nietwaar? 😉
Wat Amazon dan wel weer siert is dat er voor alle Kindles een update is uitgebracht; zelfs de allereerste Kindle uit 2007! Daar kunnen vele andere leveranciers wat van leren...

De updates zijn te downloaden bij Amazon

Op dit item kan niet meer gereageerd worden.