Orange Liveboxes e SFR Boxes são afetados por uma grande falha de segurança no sistema WPS: é possível, sem estar fisicamente perto dessas caixas, forçar o emparelhamento automático e recuperar a chave WiFi em texto simples. O problema vem da ativação do WPS por padrão nessas caixas, e o fato de um bug no firmware permitir que elas aceitem um PIN vazio.
Os caixa viva e Caixa SFR são afetados por uma falha de segurança grave que permite que você decifre a chave WiFi do seu vizinho em apenas alguns segundos. A funcionalidade WPS é ativada por padrão nessas caixas, mas é configurada sem nenhum PIN. No entanto, um bug no firmware possibilita o envio de um PIN vazio, o que possibilita iniciar o emparelhamento WiFi via WPS.
O Wi-Fi Protected Setup (WPS) facilita a adição de dispositivos à sua rede Wi-Fi. Esse recurso permite que qualquer computador se conecte sem precisar digitar a chave longa do roteador. Tudo o que você precisa fazer é pressionar um botão físico na caixa ou, se estiver longe dele e a funcionalidade estiver configurada corretamente, conectar-se com um código PIN muito mais curto.
Livebox, Box SFR: uma enorme falha permite que você decifre a chave WiFi em segundos!
Em teoria, a ausência de um PIN deve impedir qualquer uso desse recurso sem acesso físico à caixa. Exceto que… isso obviamente não é o caso de Liveboxes e SFR Boxes. Um especialista em segurança, Jeremy Martin, que descobriu essa falha, explica que é possível enviar um PIN vazio através da ferramenta reaver da distribuição gratuita Kali Linux.
Vemos no vídeo no final do artigo que isso permite obter a chave WiFi em apenas alguns minutos. O invasor pode se conectar à rede Wi-Fi de seu vizinho sem o conhecimento deste último. Jeremy Martin explica que entrou em contato com a Orange e a SFR para informá-los sobre o problema. Visivelmente impaciente, ele decidiu algumas horas depois enviar um vídeo que explica em detalhes como qualquer pessoa pode fazer a mesma coisa.
Ressalta-se que, quando uma falha é descoberta, é necessário deixar pelo menos algumas semanas entre o momento em que a falha é relatada e a revelação do método – caso contrário, é impossível para as equipes técnicas corrigirem alguma coisa. ! Como resultado, milhões de clientes agora se expõem à invasão de sua rede local por hackers ou caras espertos. Obrigado Jeremias Martins!
Portanto, será necessário esperar que esses operadores enviem uma atualização para ver o famoso bug do PIN vazio desaparecer. Até que isso aconteça, recomendamos que você desative completamente a funcionalidade WPS em sua caixa de internet.
Para aqueles que reagiram ao meu tweet esta manhã sobre SFR / Orange Wifi, aqui está o detalhe da falha 0Day https://t.co/6M8tanSaQx
Jérémy Martin (@caaptusss) 10 de agosto de 2017
O editorial aconselha:
- PayPal: uma campanha de phishing virulenta está em andamento, cuidado
