Уязвимость в Bluetooth затрагивает миллиарды устройств

Миллиарды смартфонов, шетов, ов и устройств интернета вещей используют программное обеспечение Bluetooth, уязвимое к атакам с использованием обнаруженной еще этим летом программной ошибки. Значительная их часть никогда не получит «защитных» обновлений.

Уязвиь под названием BLESA (Bluetooth Low Energy Spoofing Attack) затрагивает устройства, использующие протокол Bluetooth Low Energy (BLE). Это вариант классического протокола Bluetooth, оптимизированный с прицелом на минимизацию затрат энергии при поддержании постоянного подключения. Благодаря высокой энергоэффективности он в последние годы использовался все более широко

Как пишет ZDnet, исследователи в области компьютерной безопасности из Университета Пёрдью решили изучить процесс повторного соединения, выполняемого всеми уже сопряженными BLE-устройствами когда, например, устройство-клиент перезагружается или оказывается в радиусе действия Bluetooth-подключения устройства-сервера. Например, это происходит, когда пользователь фитнес-браслета вернулся ой после пробежки, на которую не брал смартфон.

Как выяснилось, требования протокола BLE к процедуре проверки криптографических ключей при повторном соединении оказались недостаточно строгими. В итоге в большинстве устройств процедура реализована так, что авторизация является необязательной и устройство-сервер можно заставить не требовать у устройства-клиента сверки ключей.

  Ученые развеяли миф о злых мачех

Это делает возможной атаку BLESA, в которой злоумышленник, находясь в радиусе действия , обходит верификацию при переподключении и отправляет на смартфон или другое устройство подложные данные. Уязвиь, в частности, затрагивала программные компоненты Bluetooth Low Energy, используемые в операционной системе Linux для устройств интернета вещей, Android и iOS, но не грозила при этом Windows-компьютерам.

В опубликованной в августе работе исследователи сообщили, что Apple устранила уязвиь в одном из недавних обновлений, однако использовавшееся для ов Android-устройство — смартфон Pixel XL с Android 10 — по-прежнему оставалось уязвимым. Разработчики кода для гаджетов интернета вещей на Linux сообщили при этом, что откажутся от элементов, делающих возможной атаку BLESA.

Однако, отмечает ZDnet, применение программных обновлений займет много времени и вряд ли будет возможно на всех подверженных уязвии устройствах. Например, многие гаджеты интернета вещей в принципе лишены механизмов обновления встроенного программного обеспечения. Производители многих ных Android-смартфонов также предпочитают не тратить ресурсы на разработку обновлений прошивок.

  На земной орбите заметили странный космический мусор

Читайте наш Телеграм-канал https://t.me/ieport_new

Читайте также: Носледние новости России и мира сегодня.

Pin It

Добавить комментарий