Нова Bluetooth уязвимост излага милиарди устройства на опасност

Експерти по сигурността разкриха уязвимост в сигурността на Bluetooth, която потенциално би могла да позволи на нападателя отдалечено да излъже сдвоено устройство, излагайки на опасност над милиард съвременни устройства. Атаките, наречени Bluetooth Impersonation AttackS или BIAS, се отнасят до Bluetooth Classic, който поддържа Basic Rate (BR) и Enhanced Data Rate (EDR) за безжичен трансфер на данни между устройствата. Това информират от Националния център за действие при инциденти в информационната сигурност. 

Bluetooth съдържа уязвимости, които позволяват да се извършат атаки по време на установяване на сигурна връзка. Такива уязвимости включват липсата на задължително взаимно удостоверяване, прекомерно разрешено превключване на ролите и понижаване сигурността на процедурата за удостоверяване. Като се има предвид широкото въздействие на уязвимостта, изследователите отговорно разкриват откритията пред Bluetooth групата за специални интереси (SIG) – организацията, която наблюдава развитието на стандартите за Bluetooth през декември 2019 г.

Bluetooth SIG групата призна недостатъка, добавяйки, че е направила промени, за да разреши уязвимостта. Тези промени ще бъдат въведени в бъдеща ревизия на спецификациите.

Атаката позволява на нападател да представи себе си за устройство, сдвоено преди това с целевото устройство. Нещо повече, BIAS може да се комбинира с други атаки, включително атаката KNOB (Key Negotiation of Bluetooth), която се случва, когато трета страна принуди две или повече жертви да се споразумеят за ключ за криптиране с намалена сигурност, като по този начин позволява на атакуващия да извърши атака по метода на грубата сила. Устройствата, които не са актуализирани от декември 2019 г., са засегнати

Изследователи са тествали атаката срещу 30 устройства, включително смартфони, таблети, лаптопи, слушалки и компютри като Raspberry Pi. Установено е, че всички устройства са уязвими към BIAS атаки.

В допълнение към призива на компаниите да бъдат приложени необходимите корекции в Bluetooth, на потребителите се препоръчва да инсталират най-новите актуализации от производителите на устройството и на операционната система.

Атаките BIAS са първите проблеми, свързани с процедурите за удостоверяване на сигурността при установяване на защитена връзка с Bluetooth, с превключватели на роли и с понижаване на сигурността на връзките. BIAS атаките са скрити, тъй като установяването на защитена Bluetooth връзка не изисква взаимодействие с потребителя.

Изпращайте ваши снимки и информация на [email protected]



Върни се горе