Wi-Fi : 4 failles qui concerneraient "plus de 6 milliards" d'utilisateurs dans le monde !

Si les connectivités ne sont pas sans risque pour les données-utilisateurs, assurer certains protocoles et maintenir des systèmes de sécurisation reste la meilleur arme - pragmatique - possible... C'était sans compter sans cette mise en lumière d'une vulnérabilité au sein du Wi-Fi qui compromettrait pas moins de 6 milliards d'appareils dans le monde entier dû à l'usage généralisé d'une puce Marvell  Avastar.

 

 

Comme détaillé sommairement, pour l'heure (pour éviter des contournements éventuels), sur le blog d'Embedi (par celui qui a découvert la faille : Denis Selianin), le vecteur principal est une puce de Marvell, le modèle Avastar 88W8897 qui génère potentiellement 4 vulnérabilités en permettant une corruption-mémoire de l'environnement (ThreadX) depuis le firmware de ladite puce incriminée.

 

Si l'ensemble n'a pas encore été révélé, le billet de Denis Selianin annonce de nombreux bug dont un s'exploitant à la merci du premier inconnu venu, quasiment : "cette vulnérabilité peut être déclenchée sans intervention de l'utilisateur lors de l'analyse des réseaux disponibles. Cette procédure est lancée toutes les 5 minutes, qu'un périphérique soit connecté à un réseau Wi-Fi ou non. C’est pourquoi ce bug est si cool et offre la possibilité d’exploiter des périphériques littéralement avec une interaction zéro-clic, quel que soit l’état de la connexion sans fil (même si un périphérique n’est connecté à aucun réseau)".

Pour l'instant, Marvell n'a pas encore communiqué mais gageons que des correctifs seront déployés incessamment sous peu puisque cette puce se retrouve dans de nombreux modèles de smartphones mais également de consoles de jeux (PS4, Xbox), en passant par les ordinateurs bien sûr (Chromebook, Microsoft Surface). Valve SteamLink a été testé positivement à cette vulnérabilité (PoC)... A veiller !

 

Source : blog Embedi -  18 Janvier 2019 - Wi-Fi : faille chipset Marvell Avastar 88W8897.