آسیب پذیری جدید Bluetooth میلیارد ها دستگاه را در اختیار هکرها قرار می دهد

دسته بندی ها : اخبار ۱ خرداد ۱۳۹۹ آپا دانشگاه تبریز 144 بازدید
آسیب پذیری Bluetooth

اعضای (École Polytechnique Fédérale de Lausanne (EPFL از  یک آسیب پذیری امنیتی در Bluetooth پرده برداشتند که به مهاجمان اجازه می دهد تا از دستگاه های جفت شده به صورت از راه دور کلاهبرداری کنند.

این حملات، Bluetooth Impersonation Attacks  یا BIAS نامیده می شوند که مربوط به ورژن قدیمی بلوتوث است که از نرخ پایه (BR) و نرخ افزایش داده (EDR) برای انتقال داده های بی سیم بین دستگاه ها استفاده می کند. در این آسیب پذیری Bluetooth مهاجمان قادر به انجام حملات جعل هویت در هنگام برقراری اتصال ایمن هستند. این آسیب پذیری شامل عدم احراز هویت اجباری، تغییر نقش (role switching) بیش از حد مجاز و کاهش اعتبار احراز هویت است. Bluetooth SIG این نقص را تایید و اعلام کرده که برای رفع این آسیب پذیری تغییراتی ایجاد کرده است و این تغییرات در آینده معرفی خواهد شد.

حمله BIAS

برای موفقیت آمیز بودن BIAS، یک دستگاه حمله کننده باید در محدوده دسترسی بی سیم یک دستگاه Bluetooth آسیب پذیر باشد که قبلاً اتصال BR / EDR را با یک دستگاه Bluetooth دیگری که آدرس آن برای حمله کننده شناخته شده است، برقرار کرده است. مهاجم با جعل آدرس Bluetooth در انتهای دیگر، از این باگ برای درخواست اتصال به دستگاه آسیب پذیر سوء استفاده می کند و با تغییر هویت به دستگاه دیگر، به دستگاه آسیب پذیر دسترسی کامل پیدا می کند.

علاوه بر این، BIAS را می توان با حملات دیگر، از جمله حمله (KNOB (Key Negotiation of Bluetooth ترکیب کرد که در نتیجه، شخص ثالث دو یا چند قربانی را مجبور به کلیک روی کلید رمزگذاری می کند. بنابراین به مهاجم اجازه می دهد تا از کلید رمزگذاری سوء استفاده و از آن برای رمزگشایی ارتباطات استفاده کند.

 

دستگاه هایی که از دسامبر ۲۰۱۹ به روز رسانی نشده اند تحت تأثیر این آسیب پذیری قرار دارند.

این حمله بر روی ۳۰ دستگاه مختلف از جمله تلفن های هوشمند،تبلت ها، لب تاپ ها، هدفون ها و برد ها مثل Raspberry Pi تست گردید و مشخص شد که همه این دستگاه ها در برابر حملات BIAS آسیب پذیر هستند.

Bluetooth SIG اعلام کرده که هسته اصلی Bluetooth را به منظور “جلوگیری از اتصالات نا ایمن به legacy encryption” به روز می کند و علاوه بر اینکه از شرکت ها می خواهد تا وصله های لازم را اعمال کنند، از کاربران نیز درخواست کرده تا آخرین به روز رسانی ها را بر روی دستگاه و سیستم عامل نصب کنند.

 

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :