Новая уязвимость Bluetooth: Под угрозой более миллиарда устройств

Исследователи кибербезопасности выявили новую уязвимость, затрагивающую модули Bluetooth. По их оценкам, эта проблема безопасности угрожает более чем миллиарду устройств под управлением Android и Windows. Вредоносная программа доступна в прошивках Bluetooth-чипов Qualcomm, Silicon Labs, Intel и других.

По данным MSPoweruser, уязвимость присутствует в прошивках одиннадцати производителей чипов Bluetooth. Они называют сам эксплойт «BrakTooth», и пока только три производителя выпустили исправления для защиты от будущих взломов: BluTrum, Expressif и Infineon. Остальным из них, включая Intel и Qualcomm, еще предстоит решить эту проблему; Это означает, что миллионы устройств остаются незащищенными.

Кроме того, поскольку для взлома требуется, чтобы на устройстве был включен Bluetooth, пользователям рекомендуется отключить Bluetooth в качестве надежной меры предосторожности до тех пор, пока соответствующие производители не выпустят все исправления прошивки.

Новая уязвимость Bluetooth: Под угрозой более миллиарда устройств

Известные нам продукты, которые используются для Braktooth, включают (есть и другие):

  • Смартфоны — Pocophone F1, Oppo Reno 5G и др.
  • Ноутбуки Dell — Optiplex, Alienware и др.;
  • Устройства Microsoft Surface — Surface Go 2, Surface Pro 7, Surface Book 3 и т. д.

В уязвимостях Bluetooth нет ничего нового, поскольку многие хакеры в прошлом использовали этот метод для получения незаконного доступа к устройствам с поддержкой Bluetooth, чтобы подслушивать, украсть данные, заразить вредоносным программным обеспечением или даже получить полный контроль над устройством.

Все уязвимости

Полные технические подробности и объяснения всех 16 уязвимостей можно найти на специальном веб-сайте BrakTooth, где они пронумерованы V1 — V16 вместе с соответствующими CVE. Исследователи утверждают, что все 11 поставщиков были уведомлены об этих проблемах безопасности несколько месяцев назад (более 90 дней), задолго до того, как они опубликовали свои выводы.

Expressif(pdf), Infineon и Bluetrum выпустили исправления. Несмотря на получение необходимой информации другие поставщики подтвердили выводы исследователей, но не смогли подтвердить точную дату выпуска исправления безопасности ссылаясь на внутренние расследования того, как каждая из ошибок BrakTooth повлияла на их стеки программного обеспечения и портфели продуктов. Texas Instruments заявила, что не будет заниматься устранением недостатков, влияющих на их чипсеты.

CVE-2021-28139

Компьютеры с уязвимостями безопасности доступны в базе данных Common Vulnerabilities and Exposures (CVE). Его цель — упростить совместное использование данных для разных уязвимостей (инструментов, баз данных и сервисов). Наиболее серьезная уязвимость в BrakTooth указана в CVE-2021-28139, что позволяет злоумышленникам в радиодиапазоне запускать выполнение произвольного кода со специально созданной полезной нагрузкой.

Хотя CVE-2021-28139 влияет на интеллектуальные устройства и промышленное оборудование, работающее на платах ESP32 SoC Espressif Systems, проблема может затронуть многие из других 1400 коммерческих продуктов, которые, вероятно, повторно использовали тот же программный стек Bluetooth.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Читайте Gizchina в Google News

Офіційний партнер GizChina Ukraine — магазин Electronic World
Промокод «GizChina» в коментарі до замовлення

Источник
Поделиться с друзьями
blank

Меня всегда интересовали IT-технологии. И поскольку моя предыдущая многолетняя профессиональная деятельность (а это дизайн и допечатная подготовка) невозможна без их помощи, то так получилось, что всем, что было связано с компьютерами (например, составлением и модернизацией "железа", а также настройкой софта) мне всегда приходилось заниматься самому.

Ну, а с появлением в нашей жизни гаджетов, сфера моих интересов расширилась и на них тоже.

Люблю изучать и анализировать возможности различных устройств, и уже много лет, прежде чем приобрести что-нибудь новое, всегда очень долго и тщательно изучаю возможности каждой из потенциальных моделей, провожу достаточно длительную и кропотливую работу, читаю обзоры, отзывы и сравнения.

Наградой за потраченное время является то, что чаще всего я действительно получаю лучшее из того, что можно взять в рамках запланированного мной бюджета.

Оцените автора
( 1 оценка, среднее 1 из 5 )
GizChina.Com.Ua
Додати коментар:

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: