KRACK 攻撃の追加情報
KRACKの脆弱性は、11月のLifeGuardのアップデートによって解決されました。
KRACKアタックとは何ですか?
KRACK (キー再インストール攻撃) は、WPA および WPA2 の Wi-Fi プロトコルの標準実装に影響を与えるセキュリティ上の脆弱性です。アンドロイドとマイクロソフトの両方のZebra製品が影響を受けます。
これらの脆弱性により、クライアント デバイスとアクセス ポイントの両方の Wi-Fi 範囲内で、WPA/WPA2 暗号化によって保護されている接続を介して、近接した攻撃者が Wi-Fi パケットにアクセスし、改ざんされる可能性があります。しかし、攻撃者は SSL/TLS (https) などの上位層プロトコルによって保護されているパケットを読み取ったり改ざんしたりすることはできません。攻撃者がこの脆弱性を悪用するには、複数の条件を満たす必要があります。攻撃者は、標的となるコンピュータとワイヤレス アクセス ポイント間のトラフィックを傍受するために、中間者攻撃 (MitM) を実行する必要があります。攻撃者はクライアントから AP へのトラフィックを復号化できますが、攻撃者は WPA2-AES セッションに任意のトラフィックを挿入することはできず、認証トークンやキーを取得できません。この問題のアクティブなユーザーの悪用や悪用の報告はありません。
影響を受けている製品
KRACK は、コンピューター、携帯電話、および Android と Windows オペレーティング システムの両方を実行しているその他の IoT デバイスに影響を与える可能性があります。デバイスが Wi-Fi をサポートしている場合、その影響を受ける可能性が高くなります。
Zebraは私が何をすることをお勧めしますか?
Zebraは、定期的なソフトウェアメンテナンスプログラムを開発し、維持するために、お客様のアップデートを奨励しています。Zebraは、オペレーティングシステムおよびプロセッサベンダーと積極的に協力して、タイムリーに修復を提供しています。
デバイス固有の更新プログラムは、[スペクターおよびメルトダウンのセキュリティ脆弱性] ページに表示されます。お使いのデバイスがそのページに表示されていない場合は、テクニカルサポートに連絡してください。
私はすぐに更新プログラムをインストールできません。どのような手順を踏むことができますか?
パッチ以外の修復
- 802.11r を無効にすると、1 つの脆弱性の原因 (高速 BSS 遷移、別名 802.11r ローミング) を排除することで、攻撃を軽減できます。
- 不正アクセス ポイント検出を有効にして、MitM 攻撃によって引き起こされるリスクを軽減します。ハンドシェイク メッセージ 3 の再試行を許可するために、4 番目の EAPOL メッセージ(ハンドシェイクの一部)をインターセプト/防止する必要があるため、MitM 攻撃が前もって必要です。これは、攻撃者がアクセス ポイントの MAC をスプーフィングする必要があることを意味します。
更新プログラムをダウンロードするためにZebra.comにログインするように求められるのはなぜですか?
モバイル コンピュータおよびスキャナの場合、有効な保証またはサービス契約を持つ登録済みのZebra.comユーザーは、更新プログラムを利用できます。
プリンターの場合、ファームウェアの更新は、登録Zebra.comユーザーが使用できます。
モバイル コンピュータまたはモバイル スキャナが、有効な保証またはサービス契約の対象外です。どのような手順を踏むことができますか?
- 上記の修正プログラム以外を参照してください。
- 短期契約の購入に関する詳細については、テクニカルサポートにお問い合わせください。
zebra.comにログインしています。KRACK セキュリティの脆弱性に対する更新プログラムをダウンロードできないのはなぜですか?
モバイル コンピュータおよびスキャナの場合、デバイスには有効な保証またはサービス契約が必要です。有効な保証またはサービス契約を結んでいない場合、更新プログラムはダウンロードできません。追加オプションについては、上記の質問を参照してください。
有効な保証またはサービス契約を結んでいる場合、ダウンロードに失敗した場合は、Zebraのテクニカルサポートヘルプデスクにお問い合わせください。
プリンターファームウェアのダウンロードに失敗した場合は、Zebraのテクニカルサポートヘルプデスクにお問い合わせください。
免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OS を最新のメンテナンス リリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。
特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。
Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?