Wi-Fiチップで脆弱性があったと判明

ESETが発表した脆弱性は「Kr00k」と名付けられたものでリスクとしてはWi-Fi利用時の通信を傍受される可能性がありその影響を受けるデバイスは控え目に見積もっても約10億台以上に及ぶと推測されています。

以下、脆弱性についての引用コメントです。

”Kr00kは、Wi-Fiデバイスがアクセスポイント (無線LAN) から切断された時に生じる虚弱性を悪用します。

ユーザーのデバイスもしくはアクセスポイントのいずれかに脆弱性があると、未送信のデータフレームは送信バッファに格納され、そのままWi-Fi経由で送信されます。

脆弱なデバイスでは、セッション鍵でのデータの暗号化がされず、全てがゼロからなる鍵が使用されるため、簡単に復号できてしまうのです。”

実際にESETが実施した以下のApple製品では、脆弱性をついた攻撃に対しての虚弱性が確認されています。

・iPhone6

・iPhone6s

・iPhoneXR

・iPad mini2

・MacBook Air(2018)

脆弱性が見つかったCypress SemiconductorとBroadcom製のWi-FiチップはApple製品以外にもSamsungやXiaomiなどの様々なスマートフォンやAmazon Echosといった高機能スピーカーにも採用されています。

脆弱性「Kr00k」についてはAppleは既に対策しているとの事です。

今回の脆弱性を認識していたかは定かではありませんが昨年リリースされているiOS13.2とiPad OS13.2の正式版で修正されていました。

その他のデバイスについてもKr00Kへの対策として、アップデートやファームウェア更新を行う事をESETは強く進めています。

引用元：iPhone Hacks