Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Уязвимости в Bluetooth Classic подвергают риску миллиарды устройств

03/09/21

blue vulnerableКоманда ученых из Сингапурского университета технологий и дизайна обнародовала подробности о более чем десятке уязвимостей в протоколе Bluetooth Classic [BR/EDR], которые могут использоваться для выполнения различных вредоносных действий – от инициирования сбоя работы устройств до выполнения произвольного кода и перехвата контроля над уязвимой системой.

Уязвимости, получившие общее название BrakTooth, затрагивают однокристальные системы от ряда производителей, включая Intel, Qualcomm, Texas Instruments, Infineon (Cypress) и Silicon Labs.

В рамках исследования специалисты изучили Bluetooth-библиотеки, поставляемые в составе 13 однокристальных систем от 11 вендоров, однако они полагают, что масштаб проблемы намного больше, поскольку та же прошивка используется в более чем 1,4 тыс. чипов, на которых работают различные устройства, такие как лэптопы, смартфоны, промышленное оборудование и устройства из сферы «Интернета вещей».

Наиболее опасной уязвимостью является CVE-2021-28139, позволяющая удаленно выполнить произвольный код с помощью пакетов Bluetooth LMP. По словам исследователей, проблема затрагивает смарт-устройства и промышленное оборудование, использующее однокристальные схемы Espressif Systems ESP32.

С помощью прочих уязвимостей атакующий может вызвать сбой в работе сервиса Bluetooth на смартфонах и ноутбуках. В числе уязвимых устройств специалисты указывают лэптопы Microsoft Surface, настольные компьютеры Dell, а также несколько моделей смартфонов на базе чипов Qualcomm.

По их словам, для осуществления подобных атак потребуется Bluetooth-оборудование, стоимостью менее $15.

Команда ученых сообщила производителям о результатах исследования более трех месяцев назад, однако только Espressif Systems, Infineon и Bluetrum выпустили соответствующие патчи. В компании Texas Instruments заявили, что не будут исправлять уязвимости. Остальные вендоры проводят собственное расследование и пока не назвали точные даты выпуска исправлений.

Темы:УгрозыBluetoothуниверситетские исследования
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...