Нова уразливість Bluetooth: Під загрозою понад мільярд пристроїв

Дослідники кібербезпеки виявили нову вразливість, що зачіпає модулі Bluetooth. За їхніми оцінками, ця проблема безпеки загрожує більш ніж мільярду пристроїв під управлінням Android і Windows. Шкідлива програма доступна в прошивках Bluetooth-чипів Qualcomm, Silicon Labs, Intel і інших.

За даними MSPoweruser, вразливість є в прошивках одинадцяти виробників чіпів Bluetooth. Вони називають сам експлойт «BrakTooth», і поки тільки три виробники випустили виправлення для захисту від майбутніх зломів: BluTrum, Expressif і Infineon. Решті з них, включаючи Intel і Qualcomm, ще належить розв’язувати цю проблему. Це означає, що мільйони пристроїв залишаються незахищеними.

Крім того, оскільки для злому потрібно, щоб на пристрої був включений Bluetooth, користувачам рекомендується відключити Bluetooth в якості надійної запобіжні заходи до тих пір, поки відповідні виробники не випустять все виправлення прошивки.

Нова уразливість Bluetooth: Під загрозою понад мільярд пристроїв

Відомі нам продукти, які використовуються для Braktooth, включають (є й інші):

  • Смартфони – Pocophone F1, Oppo Reno 5G і ін.
  • Ноутбуки Dell – Optiplex, Alienware та інш.;
  • Пристрої Microsoft Surface – Surface Go 2, Surface Pro 7, Surface Book 3 і т.і.

У вразливості Bluetooth немає нічого нового, оскільки багато хакерів в минулому використовували цей метод для отримання незаконного доступу до пристроїв з підтримкою Bluetooth, щоб підслуховувати, вкрасти дані, заразити шкідливим програмним забезпеченням або навіть отримати повний контроль над пристроєм.

Всі уразливості

Повні технічні подробиці та пояснення всіх 16 вразливостей можна знайти на спеціальному вебсайті BrakTooth, де вони пронумеровані V1 – V16 разом з відповідними CVE. Дослідники стверджують, що всі 11 постачальників були повідомлені про ці проблеми безпеки кілька місяців тому (більше 90 днів), задовго до того, як вони опублікували свої висновки.

Expressif (pdf), Infineon і Bluetrum випустили виправлення. Попри отримання необхідної інформації інші постачальники підтвердили висновки дослідників, але не змогли підтвердити точну дату випуску виправлення безпеки посилаючись на внутрішні розслідування того, як кожна з помилок BrakTooth вплинула на їх стеки програмного забезпечення та портфелі продуктів. Texas Instruments заявила, що не буде займатися усуненням недоліків, що впливають на їх чипсети.

CVE-2021-28139

Комп’ютери з уразливими безпеками доступні в базі даних Common Vulnerabilities and Exposures (CVE). Його мета — спростити спільне використання даних для різних вразливостей (інструментів, баз даних і сервісів). Найбільш серйозна уразливість в BrakTooth вказана у CVE-2021-28139, що дозволяє зловмисникам в радіодіапазоні запускати виконання довільного коду зі спеціально створеної корисним навантаженням.

Хоча CVE-2021-28139 впливає на інтелектуальні пристрої та промислове обладнання, яке працює на платах ESP32 SoC Espressif Systems, проблема може торкнутися багато з інших 1400 комерційних продуктів, які, ймовірно, повторно використовували той же програмний стек Bluetooth.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Читайте Gizchina в Google News

Офіційний партнер GizChina Ukraine — магазин Electronic World
Промокод «GizChina» в коментарі до замовлення

Джерело
Поділитися з друзями
blank

Мене завжди цікавили IT-технології. І оскільки моя попередня багаторічна професійна діяльність (а це дизайн і додрукарська підготовка) неможлива без їх допомоги, то так вийшло, що всім, що було пов'язано з комп'ютерами (наприклад, складанням і модернізацією "заліза", а також налаштуванням софта) мені завжди доводилося займатися самому.

Ну, а з появою в нашому житті гаджетів, сфера моїх інтересів розширилася й на них теж.

Люблю вивчати та аналізувати можливості різних пристроїв, і вже багато років, перш ніж придбати що-небудь нове, завжди дуже довго і ретельно вивчаю можливості кожної з потенційних моделей, проводжу досить тривалу і копітку роботу, читаю огляди, відгуки та порівняння.

Нагородою за витрачений час зазвичай є те, що найчастіше я дійсно отримую найкраще з того, що можна взяти в рамках запланованого мною бюджету.

Оцініть автора
( 1 оцінка, середнє 1 з 5 )
GizChina.Com.Ua
Додати коментар:

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: