11 сентября 2020 г., 17:05
Blurtooth, так называется уязвимость в повсеместно используемом стандарте Bluetooth, недавно обнаруженная исследователями из Политехнической Школы EPFL (Швейцария) и Университета Пердью (штат Индиана). О ней в среду объявила промышленная группа Bluetooth SIG, курирующая развитие этого стандарта.
Эта брешь, от которой на данный момент не создано программных патчей, связана с некорректной проверкой безопасности соединений Bluetooth. Нормальная процедура требует, чтобы пользователь лично разрешил подключение к другой системе, однако нынешняя реализация стандарта Bluetooth предоставляет возможность обойти это ограничение. Для этого хакер должен сконфигурировать своё оборудование так, чтобы выдать его за уже одобренное пользователем устройство.
Ошибка допущена в CTKD, встроенной в Bluetooth функции безопасности, используемой при шифровании соединений. Взломав её, хакер может извлечь ключ аутентификации ранее одобренного устройства и с его помощью осуществить нелегальное подключение.
Небольшая дальность действия Bluetooth снижает опасность этой уязвимости. Она обнаружена в двух разновидностях беспроводного стандарта — Low Energy и Basic Rate — которые уверенно работают на расстояниях не более 300 футов (примерно 90 метров). Однако широкое распространение этих редакций Bluetooth в потребительской технике оставляет довольно высокую вероятность того, что в этой зоне окажется одно или несколько потенциально уязвимых устройств.
По информации Bluetooth SIG, риск сохраняется для оборудования, работающего с Bluetooth версий от 4.0 до 5.0. Новейшая, ещё сравнительно мало используемая модификация 5.2 считается безопасной, а в релизе 5.1 имеются некоторые встроенные опции, включив которые производители устройств могут блокировать такие атаки.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365