Домой Новости Исследователи выявили новый баг в протоколе Bluetooth – под угрозой миллиарды мобильных...

Исследователи выявили новый баг в протоколе Bluetooth – под угрозой миллиарды мобильных устройств

Вкратце: Недавно выявленная уязвимость в протоколе Bluetooth позволяет хакерам обманывать мобильные гаджеты, выдавая себя за установленные ранее доверенные устройства, и благодаря этому – подключаться к ним. Данная проблема затрагивает большую часть Bluetooth-совместимых устройств, имеющихся на руках у пользователей, однако для решения данной проблемы производителям необходимо внести в протокол лишь небольшие изменения.

Группа исследователей из Федеральной политехнической школы Лозанны опубликовала подробную информацию о новой уязвимости в протоколе Bluetooth, которая ставит под угрозу миллиарды мобильных и переносных устройств по всему миру, позволяя злоумышленнику выдавать себя за удаленное «спаренное» устройство.

Метод атаки, получивший название Атака с использованием деперсонализации Bluetooth или (BIAS), связан с Bluetooth Classic, который поддерживает два режима беспроводной передачи данных между устройствами: Базовая скорость (BR) и Повышенная скорость передачи данных (EDR).

Учёные объясняют: «Спецификация технологии Bluetooth содержит ряд уязвимостей, которые позволяют осуществлять атаки деперсонификации во время установления безопасного соединения. […] К таким уязвимостям относится отсутствие обязательной взаимной авторизации, чрезмерность в разрешении на переключение ролей и снижение значимости самой процедуры авторизации».

Несколько снижает степень угрозы то, что для запуска атаки BIAS злоумышленник должен поместить своё устройство вблизи вашего. Затем, до запуска самой атаки, ему необходимо «прослушать» BR или EDR соединение между вашим гаджетом и другим устройством – к примеру, Bluetooth-подключаемыми наушниками – дабы определить их адреса.

Данная уязвимость позволяет использовать полученную таким образом информацию для деперсонификации главного или подключаемого устройства. Это означает, что злоумышленники могут, как считывать информацию с атакуемого устройства, так и передавать данные на него. Это достигается путём мимикрии под устройство, ранее получившее статус доверенного, благодаря односторонней авторизации, которая выражает самый низкий уровень безопасности Bluetooth.

Исследователи указывают на то, что данные атаки могут сочетаться с другими – такими, как KNOB, и могут быть легко выполнены с использованием недорогого оборудования, такого как Raspberry Pi. В публикации содержится анализ степени подверженности уязвимости в общей сложности 30 уникальных Bluetooth-устройств, оснащённых 28 различными чипами Bluetooth, в число которых попали несколько моделей смартфонов от Apple, Nokia, Samsung и Google, а также ноутбуки от HP и Lenovo.

В свете представленных результатов исследования в Bluetooth SIG внесли ряд изменений в спецификацию ядра Bluetooth, призванных «уточнить правила получения разрешений на переключение ролей, обеспечить взаимную авторизацию при устаревании авторизации и рекомендовать прохождение проверок типов шифрования во избежание понижения уровня безопасности защищённых соединений до степени устаревшего шифрования».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Понравилось нас читать?

Борис Скуратовский
Журналист, медиа-эксперт и «летописец» истории украинского радио. Образование: филолог (должен был обучать детишек английскому языку, а также украинскому языку и литературе, но в итоге просвещаю взрослых дядь и тёть, информируя их о новостях из мира радио, телевидения и сопутствующих технологий). За развитием телевидения и радио в Украине слежу с 1990 года – вначале как пассивный наблюдатель, а с февраля 1997, когда на страницах киномузыкального еженедельника «П’ятниця» впервые вышла моя рубрика «Новости радио», - как журналист. Впоследствии в разное время сотрудничал с такими изданиями, как газета «Хрещатик», а также журналы «Телерадіокур’єр», «Телемир», «Медиа-Эксперт» и рядом других. С 1998 по 2001 год работал на «Радио РОКС – Украина», где впервые получил возможность изучить радио «изнутри». Затем какое-то время работал редактором-наполнителем сайта радиостанции «ХИТ FM», а потом сотрудничал ещё с несколькими радиостанциями в качестве копирайтера. С 1999 года веду собственный интернет-портал ProRadio.Org.Ua, всецело посвящённый теме радиовещания в Украине. Люблю классический хард-рок, ценю оригинальность и нестандартность. Интересуюсь историей, лингвистикой, психологией.