A equipe de pesquisa Smart Home da ESET, empresa líder em detecção proativa de ameaças, descobriu que o Amazon Echo (hardware original do Amazon Alexa) e pelo menos uma geração dos e-readers Kindle, estavam vulneráveis a um ataque conhecido como KRACK (Key Reinstallation Attack).

Os erros identificados foram relatados pela ESET à equipe de segurança da Amazon e posteriormente corrigidos.

Em 2017, dois pesquisadores belgas anunciaram a descoberta das vulnerabilidades no padrão WPA2, protocolo de segurança para wi-fi que assegurava praticamente todas as redes modernas.

O ataque chamado de KRACK é uma invasão da conexão da vítima e intercepta informações, tendo acesso às atividades de quem utilizar a rede.

A ESET explicou que mesmo depois de dois anos, muitos dispositivos ainda são vulneráveis a esse tipo de ataque. A ESET analisou a primeira geração do Amazon Echo e a oitava geração do Amazon Kindle.

Os testes focaram principalmente na resistência dos equipamentos contra o Krack, usando os scripts disponíveis pela equipe Vanhoef e, a partir desse processo, descobriram as vulnerabilidades.

Além da interceptação de informações, essa vulnerabilidade permite que o invasor:

  • decifre quaisquer dados ou informações transmitidos pela vítima, como compras e logins realizados;
  • retransmita pacotes antigos para interromper a comunicação da rede ou executar um ataque de repetição, onde o criminoso, por meio das informações obtidas, as repete quantas vezes quiser;
  • dependendo da configuração da rede: falsifique pacotes de dados, faça com que o dispositivo descarte ou injete novos pacotes;

Além disso, a ESET lembra que para realizar esse tipo de invasão, o cibercriminoso precisa estar dentro do alcance da rede para ser capaz de interceptar o sinal.

"As explorações descritas afetam apenas a segurança do WPA / WPA2. Caso a vulnerabilidade exista nos seus aparelhos, os riscos são semelhantes a ter uma rede wi-fi desprotegida. Para garantir que você não será uma vítima, garanta que tanto em seu Echo ou Kindle estejam atualizados", conclui Camilo Gutierrez, chefe do laboratório de pesquisas da ESET América Latina.