ГлавнаябезопасностьBLESA: миллиарды устройств уязвимы для бреши в безопасности Bluetooth

BLESA: миллиарды устройств уязвимы для бреши в безопасности Bluetooth

Новый недостаток безопасности обнаруженный летом, влияет на миллиарды устройств, использующих эту технологию Блютуз, таких как смартфоны, планшеты, ноутбуки и устройства Интернета вещей. Дефект известен как БЛЕСА (Атака спуфинга Bluetooth с низким энергопотреблением) и влияет на техника используйте протокол Bluetooth Low Energy (BLE).

БЛЕСА

Протокол BLE это более легкая версия оригинального стандарта Bluetooth (Classic), предназначенная для экономии аккумулятор, сохраняя соединение Bluetooth как можно дольше. BLE получил широкое распространение в последнее десятилетие и обнаружен в большинстве устройств с батарейным питанием из-за экономии энергии, которую он предлагает.

Из-за высокого профиля этого протокола исследователи безопасности часто проверяют его на наличие каких-либо пробелы в безопасности в последние годы часто находят серьезные уязвимости.

Команда из семи ученых из Университета Пердью начала исследование части протокола BLE, которая играет ключевую роль в повседневных операциях, но редко анализируется на предмет проблем безопасности.

Исследование было сосредоточено на процессе «повторного подключения» - функции, которая происходит после того, как два устройства BLE сертифицировали друг друга во время сопряжения.

Повторное подключение происходит, когда устройства Bluetooth выходят из зоны действия, а затем возвращаются в это место позже. Обычно при повторном подключении два устройства BLE должны проверять криптографические ключи друг друга, чтобы повторно подключиться и продолжить обмен данными через BLE.

Bluetooth

Однако, как обнаружила исследовательская группа Purdue, протокол BLE содержал две системные проблемы, которые были выявлены в программных приложениях BLE:

  • Аутентификация при повторном подключении устройства необязательна и не обязательна.
  • Аутентификацию можно обойти, если устройство пользователя не требует, чтобы устройство IoT аутентифицировало сообщаемые данные.

Эти две проблемы позволяют совершить атаку BLESA. Ближайший злоумышленник обходит проверки переподключения и отправляет поддельные данные на устройстве BLE с неверной информацией и мотивирует операторов и автоматизированные процессы принимать неправильные решения.

Исследователи Purdue заявили, что они проанализировали множество программных стеков, которые использовались для поддержки связи BLE в различных операционных системах.

Исследователи обнаружили, что BlueZ (на устройствах IoT на базе Linux), Fluoride (Android) и iOS BLE были уязвимы для атак BLESA, тогда как BLE на устройствах Windows это было безопасно.

Что касается устройств Интернета вещей на основе Linux, Команда разработчиков BlueZ заявила, что удалит часть кода, которая делает устройства уязвимыми для атак BLESA, и вместо этого будет использовать код, реализующий надлежащие процедуры повторного подключения.

Обратной стороной является то, что восстановление всех уязвимых устройств будет чрезвычайно сложным для системных администраторов, а восстановление некоторых устройств может даже не быть вариантом.

Часть оборудования IoT с ограниченными ресурсами, проданными в последнее десятилетие, не сопровождается встроенным информационным механизмом, а это означает, что эти устройства будут подвержены атаке.

Злоумышленники могут использовать ошибки отказ в обслуживании чтобы отключить устройства и включить функцию повторного подключения по запросу, а затем выполнить атаку BLESA. Защитить устройства BLE от отключений и падений сигнала невозможно.

Основываясь на предыдущей статистике использования BLE, исследовательская группа оценивает, что количество устройств, использующих уязвимые программные стеки BLE, исчисляется миллиардами. На данный момент все, кто использует устройства с этим программным обеспечением, могут ждать выхода соответствующих обновлений.

Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением
spot_img

ЖИВЫЕ НОВОСТИ