Nir-Mo

Nome do software vulnerável e versões afetadas: Versões do ESPTouch anteriores à 5.3.2 Versões do ESPTouch anteriores à 5.2.4 Versões do ESPTouch anteriores à 5.1.6 Versões do ESPTouch anteriores à 5.0.8 Descrição: O ESPTouch é um protocolo de conexão para dispositivos da Internet das Coisas. No protocolo ESPTouchV2, não há opção para definir o IV (Vetor de Inicialização) nas versões anteriores à 5.3.2, 5.2.4, 5.1.6 e 5.0.8, resultando em um IV constante igual a zero. Isso leva a uma saída criptografada determinística no modo AES/CBC, podendo causar vazamento de dados. A partir das versões 5.3.2, 5.2.4, 5.1.6 e 5.0.8, o aplicativo gera um IV aleatório ao ativar a chave AES, que é então transmitido junto com os dados de provisionamento para o dispositivo de provisionamento. Recomendações: Para resolver o problema, atualize para a versão 5.3.2 ou posterior para obter a melhor proteção. Para versões anteriores à 5.2.4, atualize para a versão 5.2.4 ou posterior. Para versões anteriores à 5.1.6, atualize para a versão 5.1.6 ou posterior. Para versões anteriores à 5.0.8, atualize para a versão 5.0.8 ou posterior. Como o problema está implementado na pilha Wi-Fi do ESP, não há solução alternativa para o usuário corrigir a camada de aplicação sem atualizar o firmware subjacente.