Новая уязвимость Bluetooth позволяет хакерам легко атаковать соседние устройства

Копания Bluetooth SIG опубликовала заявление, в котором говорилось об обнаруженной уязвимости, которая потенциально затрагивает сотни миллионов устройств по всему миру.

Уязвимость заключается в кросс-транспортном выводе ключа (CTKD) устройств, поддерживающих как стандарт базовой скорости (BR / EDR), так и стандарт Bluetooth с низким энергопотреблением (BLE).

Эта уязвимость, получившая название «BLURtooth» и отслеживаемая как CVE-2020-15802, выявляет устройства, работающие с технологией Bluetooth 4.0 или 5.0. Это позволяет злоумышленникам несанкционированно подключаться к целевому соседнему устройству путем перезаписи аутентифицированного ключа или снижения надежности ключа шифрования.

Возможность использования уязвимости может позволить устройствам перезаписывать ключи авторизации, даже когда обеспечен более высокий уровень безопасности.

То есть этот недостаток может привести к нескольким потенциальным атакам, сгруппированным как «атаки BLUR», включая атаку типа «человек посередине» (MITM).

Рекомендуется ввести ограничения на CTKD, предусмотренные в базовой спецификации Bluetooth версии 5.1 и более поздних версий в качестве основного средства защиты.

Bluetooth SIG также начал координировать действия с производителями затронутых устройств, чтобы помочь им быстро выпустить необходимые исправления.