Apple parcheó en octubre un error en chips de Broadcom que permitía descifrar algunos paquetes de datos

Apple parcheó en octubre un error en chips de Broadcom que permitía descifrar algunos paquetes de datos

Las conferencias de seguridad suelen ser eventos a los que prestar atención. Hoy mismo finaliza la RSA Conference, donde unos investigadores han mostrado su investigación acerca de una vulnerabilidad en la seguridad Wi-Fi. Desde ArsTechnica informan (vía 9to5Mac) que entre los dispositivos afectados se encuentran varios de Apple.

La compañía parcheó este error el pasado mes de octubre, con las actualizaciones de iOS 13.2, iPadOS 13.2 y macOS 10.15.1.

Un error de alcance limitado en comunicaciones Wi-Fi

iPhone en la mano

Kr00K explota una vulnerabilidad que ocurre cuando un dispositivo inalámbrico se desasocia de un punto de acceso inalámbrico. Si cualquiera de los dos dispositivos, del usuario o el punto de acceso, es vulnerable, pondrá cualquier dato sin mandar en un buffer de transmisión y los mandará después over the air.

En vez de cifrar estos datos con la llave de sesión negociada con anterioridad y durante una conexión normal, los dispositivos vulnerables utilizan una llave que es todo ceros, un movimiento que convierte el descifrado en inútil.

El equipo investigador llamado ESET ha sido el responsable en localizar y divulgar este error. Esta vulnerabilidad nace de los chips FullMAC WLAN de Broadcom, una división que posteriormente fue adquirida por Cypress Semi en 2016. Por tanto, se encuentra en productos de ambas compañías. Entre ellos, de marcas como Amazon (por sus Kindle), Apple, Huawei, Xiaomi, Samsung o Google.

En el caso de los fabricantes de smartphones y lectores, la mayoría cuentan con un software que parchea el problema desde hace tiempo. Sin embargo, los routers Wi-Fi son el eslabón más débil de esta vulnerabilidad, dado que son dispositivos que apenas de actualizan. Por eso, es siempre recomendable mantenerlos también actualizados a la última versión de software.

En cualquier caso, la mayoría de las comunicaciones que se realizan en la actualidad ya vienen cifradas de antemano. Por tanto, estamos ante una vulnerabilidad con un alcance limitado.

Apple ya parcheó este error en octubre de 2019

MacBook Air abierto

En una respuesta a Ars, Apple indicó que la vulnerabilidad había sido resuelta el pasado mes de octubre. En concreto, bajo las actualizaciones macOS 10.15.1, iOS 13.2 y iPadOS 13.2. Si accedemos a ambos documentos, en el apartado Wi-Fi veremos el CVE-2019-15126 que se corresponde con este error.

En el caso de la manzana, los dispositivos afectados son los siguientes:

  • iPad mini 2.
  • iPhone 6, 6S, 8, XR.
  • MacBook Air de 2018.

Como vemos, apenas hay seis productos pero de un rango de tiempo bastante amplio. El iPad mini 2 se empezó a vender en 2013, el iPhone 6 y 6s en 2014 y 2015, el iPhone 8 y XR en 2017 y 2018 y el MacBook Air a finales de 2018. Si tienes uno de ellos, actualiza lo antes posible a la última versión disponible.

Con frecuencia Apple parchea errores de software a través de una actualización, pero sin indicar qué se ha solucionado. Suele darse un tiempo para que el nuevo software se expanda entre los usuarios y posteriormente se divulga la naturaleza de los errores. Un caso similar lo podemos encontrar en las actualizaciones watchOS 5.3.5 y 6.1.3, donde aún no se han especificado los errores de seguridad corregidos en las notas de Apple.

Como siempre sucede en estos casos, es conveniente actualizar tus dispositivos lo antes posible. Si te preocupa la seguridad, esta es la mejor manera de tener protegidos tus equipos.

-
La noticia Apple parcheó en octubre un error en chips de Broadcom que permitía descifrar algunos paquetes de datos fue publicada originalmente en Applesfera por Eduardo Archanco .




Fuente: Applesfera
Enlace: Apple parcheó en octubre un error en chips de Broadcom que permitía descifrar algunos paquetes de datos

Comentarios