Μια ομάδα ερευνητών ασφαλείας ανακάλυψε μια κρίσιμη ευπάθεια ασφάλειας στο πρωτόκολλο ασύρματης επικοινωνίας Bluetooth, η οποία αφήνει εκατομμύρια συσκευές ευάλωτες σε επιθέσεις.
Ο Daniele Antonioli από το Singapore University of Technology and Design, ο Nils Ole Tippenhauer από το CISPA Helmholtz Center for Information Security και ο Kasper Rasmussen από το Department of Computer Science University of Oxford δημοσίευσαν ένα paper με τίτλο “The KNOB is Broken: Exploiting Low Entropy in the Encryption Key Negotiation Of Bluetooth BR/EDR,” όπου αποκαλύπτουν ένα νέο μεγάλο κενό ασφαλείας του Bluetooth.
Σύμφωνα με τους ερευνητές, η νέα ευπάθεια στο Bluetooth θα μπορούσε να αφήσει εκατομμύρια συσκευές που χρησιμοποιούν το πρωτόκολλο, εκτεθειμένες σε ένα νέο είδος επίθεσης που ονομάζεται KNOB (αρχικά από το Key Negotiation Of Bluetooth). Η επίθεση επιτρέπει στους επιτιθέμενους να προσπερνούν τη διαδικασία αντιστοίχισης του Bluetooth και να κατασκοπεύουν τα δεδομένα που μοιράζονται μεταξύ διαφόρων συσκευών, ακόμη και αν είχαν αντιστοιχιστεί.
Η επίσημη σελίδα του KNOB αναφέρει:
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Η επίθεση KNOB είναι δυνατή εξαιτίας ελαττωμάτων στις προδιαγραφές του Bluetooth. Συνεπώς, οποιαδήποτε συμβατή συσκευή Bluetοoth μπορεί να είναι ευάλωτη. Πραγματοποιήσαμε επιθέσεις KNOB σε περισσότερα από 17 μοναδικά Bluetoοth chips (σε 24 διαφορετικές συσκευές), μέχρι αυτή τη στιγμή. Μπορέσαμε να δοκιμάσουμε chips από τους κατασκευαστές Broadcom, Qualcomm, Apple, Intel και Chicony. Όλες οι συσκευές που δοκιμάσαμε ήταν ευάλωτες στην επίθεση KNOB
Όπως φαίνεται, είναι ένα σημαντικό κενό στην ασφάλεια που επηρεάζει όλες τις συσκευές που έχουν τη δυνατότητα Bluetooth.
Έτσι οι ερευνητές έπρεπε να συντονίσουν τη δημοσιοποίηση με τις κατασκευάστριες εταιρείες, για να έχουν το χρόνο να επιδιορθώσουν το σφάλμα και να κυκλοφορήσουν τις απαραίτητες ενημερώσεις ασφαλείας στους χρήστες. Το κενό ασφαλείας αποκαλύφθηκε το Νοέμβριο του 2018 και έχει τεκμηριωθεί σαν CVE-2019-9506.
Η Apple, η Intel και η Microsoft έχουν κυκλοφορήσει ήδη την απαραίτητη ενημέρωση που διορθώνει την ευπάθεια του Bluetooth.
Ωστόσο οι ερευνητές ασφαλείας προειδοποιούν ότι εάν η συσκευή σας δεν έχει ενημερωθεί από τα τέλη του 2018, είναι ευάλωτη.
_________________________