Уязвимость BLURtooth подвергает Bluetooth-устройства риску кибератак

Материал из Викиновостей, свободного источника новостей

10 сентября 2020 года

Организация Bluetooth SIG и Координационный центр CERT при Университете Карнеги-Меллон выпустили предупреждения касаемо новой уязвимости BLURtooth, которая может использоваться для перезаписи ключей аутентификации Bluetooth.

Проблема (CVE-2020-15802) связана с компонентом стандарта Cross-Transport Key Derivation (CTKD), используемого для установки ключей аутентификации при сопряжении Bluetooth-устройств с поддержкой стандартов Low Energy (BLE) и Basic Rate/Enhanced Data Rate (BR/EDR). С помощью уязвимости BLURtooth злоумышленник может манипулировать компонентом CTKD для перезаписи ключей аутентификации Bluetooth и таким образом получить доступ к поддерживающим Bluetooth сервисам и приложениям на том же устройстве.

Данная уязвимость позволяет провести ряд атак, включая атаку «человек посередине». Как отмечается, в зависимости от варианта атаки BLURtooth атакующий может либо полностью перезаписать ключи аутентификации, либо откатить стандарт шифрования до более ненадежной версии.

Уязвимость затрагивает стандарты Bluetooth с 4.0 до 5.0. В версии Bluetooth 5.1 реализованы функции, позволяющие предотвратить эксплуатацию BLURtooth. В настоящее время Bluetooth SIG проводит работу по информированию производителей Bluetooth-устройств о проблеме и способах ее решения. Когда будут доступны патчи, не уточняется.

Bluetooth Special Interest Group (Bluetooth SIG) - организация по стандартизации, которая следит за развитием Bluetooth стандартов и лицензирования технологий Bluetooth и товарных знаков для производителей.

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.