Bluetooth 4.2 и более новые версии стандарта оказались уязвимыми для примитивных атак — под угрозой миллиарды устройств
Поскольку в современных смартфонах выходы для проводных наушников часто не предусмотрены совсем, миллиарды пользователей приобретают беспроводные наушники. Плохая новость — современные версии стандарта Bluetooth оказались уязвимы для атак, но пострадать могут и владельцы другой электроники.
Команда французских экспертов EURECOM обнаружила важную уязвимость, открывающую злоумышленникам большие возможности при атаке на устройства, связанные по Bluetooth-каналу. Фактически речь идёт о методе простого перебора ключей шифрования Bluetooth. В случае успеха хакер может организовать «спуфинг», потенциально получая доступ к чужим данным.
Уязвимость, вероятно, как минимум частично характерна для любых устройств, применяющих Bluetooth 4.2 или более новые версии стандарта. С учётом того, что версия 4.2 представлена почти 10 лет назад, можно предположить, что под угрозой оказались почти все устройства с Bluetooth. Исследователи разделили атаки на шесть разных типов, объединив их акронимом BLUFFS. Команда EURECOM уже опубликовала список устройств, которые ей удалось взломать, использовав выявленную уязвимость.
Подробная информация размещена на GitHub, также можно ознакомиться и с её докладом.
Тем временем в Bluetooth Special Interest Group (SIG), курирующей внедрение стандарта и связанные с ним вопросы, уже знакомы с неприятным «открытием» EURECOM. В специальной рассылке Bluetooth SIG рекомендует OEM-производителям придерживаться строгих протоколов безопасности для защиты от атак, но о том, что в будущих версиях Bluetooth уязвимость будет устранена, ничего не упоминается. Новейшей версией является Bluetooth 5.4, стандарт представлен в феврале 2023 года.