Amazon Echo permite ataques KRACK

Echo, el altavoz inteligente de Amazon, contiene vulnerabilidades que permiten la realización de ataques de reinstalación de claves (también conocidos como KRACK por sus siglas en inglés). Así lo asegura el equipo de investigación Smart Home de ESET que ha desvelado que el altavoz de Amazon sufre los mismos problemas que ya encontraron en al menos una generación de los lectores Kindle, fabricados y comercializados por la misma compañía.

Al parecer, todo comenzó en 2017, cuando dos investigadores belgas, Mathy Vanhoef y Frank Piessens, encontraron importantes debilidades en el estándar WPA2, uno de los protocolos de seguridad en redes WiFi más extendidos. Los ataques KRACK se dirigían básicamente contra el proceso de handshaking de cuatro vías, diseñado para que el punto de acceso y el dispositivo puedan demostrarse mutuamente que comparten los credenciales correctos y para la negociación de la clave utilizada para el cifrado del tráfico. Hoy en día, muchos dispositivos con conectividad WiFi siguen siendo vulnerables.

“En los últimos años, cientos de millones de hogares se han convertido en ‘inteligentes’ a través de alguno de los asistentes domésticos disponibles en el mercado. A pesar de los esfuerzos de los fabricantes para desarrollar estos aparatos con la seguridad en mente, en muchas ocasiones siguen siendo vulnerables”, afirma Milos Cermak, investigador de ESET. “Hemos identificado varias vulnerabilidades en al menos tres dispositivos de Amazon que, teniendo en cuenta el número de unidades vendidas, podrían suponer un elevado riesgo de seguridad”.

La primera generación de Echo y la octava generación de Kindle estaban afectadas por dos vulnerabilidades KRACK que permitían al delincuente ejecutar un ataque de denegación de servicio, descifrar cualquier información transmitida por la víctima, falsificar paquetes de datos, provocar la pérdida de paquetes de datos o inocular nuevos paquetes e incluso interceptar información confidencial como contraseñas o cookies de sesión.

Las vulnerabilidades ya han sido subsanadas por el equipo de seguridad de Amazon pero el descubrimiento de este tipo de vulnerabilidades en dispositivos que ya forman parte del día a día de muchos hogares, debe dar qué pensar tanto a fabricantes como a usuarios que pueden, sin saberlo, estar poniendo en peligro su seguridad y la privacidad de sus datos.

La entrada Amazon Echo permite ataques KRACK aparece primero en Globb Security.