Livebox, Box SFR: esta enorme falha permite encontrar a chave WiFi do vizinho em poucos segundos!

Orange Liveboxes e SFR Boxes são afetados por uma grande falha de segurança no sistema WPS: é possível, sem estar fisicamente perto dessas caixas, forçar o emparelhamento automático e recuperar a chave WiFi em texto simples. O problema vem da ativação do WPS por padrão nessas caixas, e o fato de um bug no firmware permitir que elas aceitem um PIN vazio. 

Os caixa viva e Caixa SFR são afetados por uma falha de segurança grave que permite que você decifre a chave WiFi do seu vizinho em apenas alguns segundos. A funcionalidade WPS é ativada por padrão nessas caixas, mas é configurada sem nenhum PIN. No entanto, um bug no firmware possibilita o envio de um PIN vazio, o que possibilita iniciar o emparelhamento WiFi via WPS.

O Wi-Fi Protected Setup (WPS) facilita a adição de dispositivos à sua rede Wi-Fi. Esse recurso permite que qualquer computador se conecte sem precisar digitar a chave longa do roteador. Tudo o que você precisa fazer é pressionar um botão físico na caixa ou, se estiver longe dele e a funcionalidade estiver configurada corretamente, conectar-se com um código PIN muito mais curto.

Livebox, Box SFR: uma enorme falha permite que você decifre a chave WiFi em segundos!

Em teoria, a ausência de um PIN deve impedir qualquer uso desse recurso sem acesso físico à caixa. Exceto que… isso obviamente não é o caso de Liveboxes e SFR Boxes. Um especialista em segurança, Jeremy Martin, que descobriu essa falha, explica que é possível enviar um PIN vazio através da ferramenta reaver da distribuição gratuita Kali Linux.

Vemos no vídeo no final do artigo que isso permite obter a chave WiFi em apenas alguns minutos. O invasor pode se conectar à rede Wi-Fi de seu vizinho sem o conhecimento deste último. Jeremy Martin explica que entrou em contato com a Orange e a SFR para informá-los sobre o problema. Visivelmente impaciente, ele decidiu algumas horas depois enviar um vídeo que explica em detalhes como qualquer pessoa pode fazer a mesma coisa.

Ressalta-se que, quando uma falha é descoberta, é necessário deixar pelo menos algumas semanas entre o momento em que a falha é relatada e a revelação do método – caso contrário, é impossível para as equipes técnicas corrigirem alguma coisa. ! Como resultado, milhões de clientes agora se expõem à invasão de sua rede local por hackers ou caras espertos. Obrigado Jeremias Martins!

Portanto, será necessário esperar que esses operadores enviem uma atualização para ver o famoso bug do PIN vazio desaparecer. Até que isso aconteça, recomendamos que você desative completamente a funcionalidade WPS em sua caixa de internet.

Para aqueles que reagiram ao meu tweet esta manhã sobre SFR / Orange Wifi, aqui está o detalhe da falha 0Day https://t.co/6M8tanSaQx

Jérémy Martin (@caaptusss) 10 de agosto de 2017

O editorial aconselha:

1. PayPal: uma campanha de phishing virulenta está em andamento, cuidado

Em seu último relatório, a Apple insiste que o monopólio da App Store possibilita oferecer maior segurança aos seus usuários. E o fabricante aproveita a oportunidade para se comparar ao Android,… Bem a tempo do mês de conscientização sobre segurança cibernética, a Coinbase revelou que um ataque de phishing de “grande escala” atingiu seus usuários no início deste… Pesquisadores britânicos descobriram uma vulnerabilidade no serviço Apple Pay. Indivíduos maliciosos podem, assim, ignorar a tela de bloqueio do smartphone para perceber… Um especialista em segurança cibernética descobriu uma vulnerabilidade no AirTag. Veja como o rastreador da Apple pode ser usado por indivíduos mal-intencionados que desejam roubar dados pessoais. Nós…