Bluetooth-атака BLESA затрагивает миллиарды мобильных устройств

    image

    Специалисты Университета Пердью выяснили, что миллиарды смартфонов, ноутбуков, планшетов и «умных» устройств с технологией Bluetooth Low Energy оказались уязвимы перед спуфинг-атакой BLESA (Bluetooth Low Energy Spoofing Attack).

    Подавляющее большинство всех предыдущих исследований проблем безопасности BLE почти полностью сосредоточено на процессе сопряжения и игнорирует большие фрагменты протокола. Исследователи изучили процесс переподключения, когда два устройства сначала удаляются друг от друга на слишком большое расстояние, а потом попадают обратно в зону действия Bluetooth.

    Если в обычных случаях происходит взаимная проверка криптографических ключей, то спецификация Bluetooth Low Energy не содержит достаточно строгих формулировок для описания процесса переподключения. Это позволило возникнуть двум системным ошибкам: аутентификация при переподключении необязательна, и поэтому ее можно обойти.


    Исследователи заявили, что они проанализировали несколько программных стеков, которые использовались для поддержки связи BLE в различных операционных системах. Они обнаружили, что BlueZ (устройства IoT на базе Linux), Fluoride (Android) и стек BLE iOS были уязвимы для атак BLESA, тогда как стек BLE в устройствах Windows оставался невосприимчивым к ним. Позднее Apple устранила уязвимость. Команда разработчиков BlueZ заявила, что откажется от части своего кода, открывающей устройства для атак BLESA, и вместо этого будет использовать код, реализующий надлежащие процедуры переподключения.

    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 2

      0
      Ну такое дело. Чисто технически отличная находка, хорошее исследование. А вот практическая атака весьма сложна, нужно несколько условий, да и пользоваться ей будут скорее спецслужбы. Нов таком случае гораздо проще поюзать что-то типа NSO Group, если экспорт разрешен. Ну и фиксы порадовали, хотя сколько осталось без них, все эти EoL.
        0
        А патчи для этой уязвимости (повторная проверка ключей) могут повысить расход энергии в сопрягаемых устройствах?

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое