A sérülékenységek orvoslására szolgáló javításokat a következő hetekben kell kiadni
A kiberbűnözők kihasználhatják a Bluetooth számos sebezhetőségét, hogy megszemélyesítési támadásokat hajtsanak végre, és legitim eszköznek álcázzák magukat a párosítási folyamat során. a Bluetooth Special Interest Group (SIG).
A biztonsági hibák, amelyek befolyásolják a Bluetooth Core és a Hálós profil specifikációkat fedeztek fel a francia nemzeti kiberbiztonsági ügynökség, az ANSSI kutatói.
"A kutatók megállapították, hogy a Passkey hitelesítési eljárásban MITM-ként [Man-in-the-Middle] működő támadó egy kialakított válaszsorozatot használhat a párosítás kezdeményezője által kiválasztott véletlenszerűen generált jelszó minden egyes bitjének meghatározására. a párosítási eljárás minden egyes fordulójában, és az azonosítás után, hogy ugyanazon párosítási munkamenet során használja ezeket a jelszóbiteket, hogy sikeresen befejezze a hitelesített párosítási eljárást a válaszadóval” – olvasható a Bluetooth SIG biztonsági közleményében.
A támadás sikeres végrehajtásához az elkövetőnek a párosítási eljárásban részt vevő két sebezhető Bluetooth-eszköz vezeték nélküli hatókörében kell lennie. A hitelesítési folyamat befejezése után a válaszadó eszközt a kezdeményező helyett a támadóval hitelesítik. A támadó azonban nem fogja tudni használni ezt a módszert a kezdeményező eszközzel való párosításhoz.
Az US CERT Koordinációs Központ (CERT/CC) további információkat adott ki részleteket a sebezhetőségekről, amely elmagyarázza, hogy a támadó kihasználhatja a hibákat a párosítási protokoll befejezésére és a kommunikáció titkosítására egy ismert linkkulcs segítségével, hitelesítheti az AuthValue nélkül, vagy akár nyers erővel is végrehajthatja azt.
Foltok az úton
A szoftver- és firmware-frissítések a következő hetekben várhatók, így a felhasználóknak figyelniük kell az érintett gyártók javításait.
Apropó, az Android Open Source Project, a Cisco, a Microchip Technology, a Cradlepoint, az Intel és a Red Hat azon szervezetek közé tartozik, amelyeket a CERT/CC legalább néhány sebezhetőség által érintettként azonosított. Az első három nyilatkozatot adott ki, amelyben megerősítette, hogy dolgoznak a biztonsági hibák javításán vagy enyhítésén, míg a többiek még nem nyilatkoztak a kérdésről.
Arról nincs hír, hogy a hibákat a vadonban kihasználták-e.
A SIG megosztotta saját készletét ajánlások a sérülékenységek kezelése, és sürgeti a gyártókat, hogy sietve adják ki a javításokat.
- 7
- között
- android
- Hitelesítés
- Bit
- Bluetooth
- bogarak
- Cisco
- érkező
- távközlés
- Kiberbiztonság
- Eszközök
- felfedezett
- Exploit
- vezetéknév
- hibái
- HTTPS
- Intel
- kamat
- IT
- Kulcs
- LINK
- nyitva
- nyílt forráskódú
- Patches
- program
- hatótávolság
- Red Hat
- REST
- biztonság
- kiválasztott
- Series of
- készlet
- megosztott
- So
- Technológia
- Frissítés
- us
- Felhasználók
- gyártók
- sérülékenységek
- Sebezhető
- drótnélküli