Нови уязвимости в Bluetooth засягат милиарди устройства
Милиарди устройства като преносими компютри и смарт телефони са уязвими от неточности в Bluetooth фърмуера
(снимка: CC0 Public Domain)
Група откриватели по осведомителна сигурност разгласиха подробна информация за 16 уязвимости в протокола Bluetooth. Откритите неточности засягат милиарди устройства, които употребяват SoC (система на чип ) от редица производители.
Уязвимостите, станали групово известни като BrakTooth, могат да бъдат употребявани от киберпрестъпници за разнообразни цели, в това число осъществяване на случаен код и прихващане на надзор над устройство, заяви.
Експертите са тествали Bluetooth софтуерни библиотеки за 13 разнообразни SoC от 11 производителя. Последващите проучвания демонстрират, че казусът е доста по-голям, защото същият Bluetooth фърмуер се употребява допълнително от 1400 чипа, които са в основата на необятен набор от устройства, включително смарт телефони, таблети, преносими компютри, друго промишлено съоръжение и IoT устройства.
Броят на засегнатите от уязвимостите устройства се прави оценка на милиарди, само че въздействието им варира според от потребления SoC и Bluetooth фърмуер. Най-опасната накърнимост е CVE-2021-28139, чието експлоатиране разрешава на нападателите да извършват отдалечено код посредством Bluetooth LMP пакети. Тази накърнимост визира интелигентни устройства и промишлено съоръжение въз основата на микроконтролери Espressif Systems ESP32, както и други устройства от разнообразни категории.
още по тематиката
Останалите уязвимости са по-малко рискови, само че всички те засягат огромен брой устройства. Използването на една от тях ще докара до нарушение на работата на Bluetooth на смарт телефони и преносими компютри. Проблемът визира преносими компютри Microsoft Surface, компютри Dell и смарт телефони от разнообразни производители, основани на чипове Qualcomm.
Друга накърнимост може да се употребява за причиняване на неизправности в устройството, принуждавайки потребителя да го рестартира.
След привършване на проучването, специалистите са уведомили всички производители за откритите дефекти. Въпреки обстоятелството, че от този момент са минали повече от 90 дни, не всички снабдители са пуснали подобаващи корекции, с цел да поправят грешките.
Espressif Systems, Infineon и Bluetrun пуснаха корекции, до момента в който Texas Instruments съобщи, че няма да в профил минусите. Други снабдители оповестяват, че се нуждаят от повече време, с цел да създадат лично следствие и да разработят кръпки.
Източник: technews.bg
КОМЕНТАРИ