Security Week 37: Дружно выключаем Bluetooth, дыра в Tor на миллион, ботнеты на серверах Elasticsearch

[Falstaff]

… недемократических стран и государств под международными санкциями, а таких среди клиентов Zerodium, как нам сказали, нет.

Я не могу не процитировать бородатое: "… они там, оказывается, джентльмены, на слово верят. Вот тут-то мне карта и пошла." :)

Я правильно понимаю, что, раз обе уязвимости Android касаются BNEP, то для эксплуатации надо, чтобы телефон предоставлял tethering по Bluetooth? (А Windows — создал PAN поверх Bluetooth, чтобы открыться для MitM?)

[Kaspersky_Lab]

Хороший вопрос! Не могу сказать точно, однако в соответствующих бюллетенях MITRE (CWE-122, CWE-191, CWE-300) все предложенные методы отражения атак относятся к архитектуре и реализации. Получается, уязвимости доступны вне зависимости от настроек и режимов Bluetooth на устройстве.

[wholeman]

А вот если бы Android позволял отключать простой Bluetooth, было бы гораздо лучше: музыку можно и по проводам послушать, а вот часы без BTLE (который для этих атак неуязвим) уведомления показывать не будут. И отказываться от этого удобства ой как не хочется.

[Pilat]

Тут же не в музыке дело, а в управлении инфраструктурой IoT, которое через телефон разом подрезали на неопределённый срок.

[wholeman]

IoT ж обычно через WiFi работает, вроде.

[Pilat]

Ну сейчас он (IoT) вообще не работает, нет его. А в недалёком будущем масса устройств будет через bluetooth, так как он менее энергозатратный.

[wholeman]

Ну, какая разница утюгу или кофеварке, какая технология связи более энергозатратная, если они в рабочем режиме жрут по полтора киловатта, а, модуль WiFi — в 6000 раз меньше?

[Pilat]

А грубо говоря бикону на связке ключей не всё равно, он год работает от одной батарейки.

[wholeman]

Это уже не IoT. И работают такие устройства через BTLE.

[Pilat]

Это как? Самый как раз исходный IoT.
И работают такие устройства через сотовый телефон, подверженный уязвимости.

Задействование в «интернете вещей» предметов физического мира, не обязательно оснащённых средствами подключения к сетям передачи данных, требует применения технологий идентификации этих предметов («вещей»). Хотя толчком для появления концепции стала технология RFID, но в качестве таких технологий могут использоваться все средства, применяемые для автоматической идентификации: оптически распознаваемые идентификаторы (штрих-коды, Data Matrix, QR-коды), средства определения местонахождения в режиме реального времени.

То есть пачка продуктов со штрихкодом уже объект для IoT. А уж пачка продуктов с bluetooth связанными в единую сеть — тем более.

[wholeman]

То есть пачка продуктов со штрихкодом уже объект для IoT.

Это маркетинг. Тема модная, вот и присовокупляют к ней что попало. На самом деле IoT — это когда устройство само в Сеть лезет. А продукты со штрихкодом или метками — это всего лишь объекты, с которыми оно может работать.

[Pilat]

Не стоит ли для дополнения красоты нового мира указать ссылку на https://play.google.com/store/apps/details?id=com.armis.blueborne_detector&rdid=com.armis.blueborne_detector ?

[wholeman]

Тут, пишут что приложение это довольно слабенькое и реально мало что проверяет. И да, мой PowerBook со свежей Убунтой рисует жёлтым, хотя известно, что там всё пофиксили.
Kaspersky_Lab, своё что-нибудь делать будете? Посерьёзнее.

[Kaspersky_Lab]

Пока не планируем.

[Akon32]

Совершенно непонятно, при каких условиях возможны атаки на Bluetooth. Исходя из написанного в статье, абсолютно всегда и для всех устройств (ну когда BT включён, вероятно).
Это весьма странно, ибо дырищу в протоколе, делающую возможными RCE(!) атаки на устройства любых архитектур, следовало бы заметить уж за всё это время.

Можно подробнее о необходимых условиях?

[Kaspersky_Lab]

Из исследования:

The attack does not require the targeted device to be set on discoverable mode or to be paired to the attacker’s device. In addition, the targeted user is not required to authorize or authenticate the connection to the attacker’s device.

Так что получается да, единственное условие — включенный Bluetooth.