`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Уязвимость в Bluetooth подвергает риску взлома совместимые устройства

0 
 

Уязвимость в Bluetooth подвергает риску взлома совместимые устройства

Атака, получившая название KNOB (Key Negotiation Of Bluetooth), использует уязвимость в спецификации Bluetooth для ослабления шифрозащиты, прослушивания и фальсификации беспроводных коммуникаций для получения контроля над мобильным устройством.

Идентифицировала и продемонстрировала KNOB в действии международная команда, включающая исследователей из Сингапурского университета технологии и дизайна, Центра информационной безопасности им. Гельмгольца (CISPA) и Оксфордского университета. Полученные результаты она представила на Симпозиуме по безопасности USENIX.

Организация Bluetooth SIG выпустила уведомление о безопасности, где описана уязвимость, связанная с шифрованием подключения Bluetooth BR/EDR. Суть уязвимости отражена в названии – «согласование ключа» (Key Negotiation of Bluetooth или KNOB). На этапе сопряжения злоумышленник может вмешаться в обмен между двумя устройствами и сделать ключ шифрования соединения коротким. В результате появляется возможность провести атаку методом перебора, после чего – отслеживать и изменять трафик между устройствами, например, между двумя смартфонами или между смартфоном и колонкой.

При этом необходимо выполнение определенных условий: оба устройства должны использовать соединение Bluetooth BR/EDR (или Bluetooth Classic), а злоумышленник – находиться в радиусе действия Bluetooth и иметь возможность перехватывать, изменять и передавать измененные сообщения, одновременно блокируя прямой канал. Кроме того, уязвимость должна быть в обоих устройствах, участвующих в обмене. Впрочем, все контроллеры Bluetooth, проверенные исследователями (было проверено 17 моделей), имеют уязвимость. Что собственно неудивительно, поскольку она заложена в спецификации Bluetooth как отсутствие ограничения на минимальную длину ключа.

Участники исследования в ноябре прошлого года поделились сведениями об этой атаке с рабочей группой Bluetooth SIG, c Координационным Центром CERT и с Международным консорциумом совершенствования кибербезопасности Интернета (ICASI).

Чтобы решить проблему, Bluetooth SIG изменила базовую спецификацию Bluetooth Cor, «рекомендовав установить минимальную длину ключа шифрования в 7 октетов (символов) для соединений BR/EDR».

Разработчикам было настоятельно рекомендовано обновить существующие решения, введя ограничение на минимальную длину ключей шифрования. В частности, Apple и Microsoft уже закрыли эту уязвимость апдейтами безопасности для своих операционных систем. Группа Bluetooth SIG включила тестирования соблюдения этой новой рекомендации в свою квалификационную программу Bluetooth Qualification Program. Дело за «малым», пользователи должны установить обновления на свои устройства.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT