Bleeping Computers იტყობინება, რომ Bluetooth-მა აღმოაჩინა ორი კრიტიკული დაუცველობა კავშირების გადასაჭრელად.
ეს ხარვეზები არქიტექტურულია, რაც ნიშნავს, რომ ისინი გავლენას ახდენენ Bluetooth-ზე ფუნდამენტურ დონეზე. პრობლემები თვალყურს ადევნებს CVE-2023-24023 და გავლენას ახდენს Bluetooth ბირთვის სპეციფიკაციაზე 4.2-დან 5.4-მდე.
ექსპლოიტების ახალ სერიას BLUFFS ჰქვია. ისინი მიზნად ისახავს გატეხვას და Bluetooth კავშირების კონფიდენციალურობის შემცირებას, პერსონალური მონაცემების მოპარვას და ა.შ.
BLUFFS იყენებს Bluetooth სტანდარტის ორ ადრე უცნობ ხარვეზს, რომელიც დაკავშირებულია სესიის გასაღებების მოპოვებასთან გაცვლილი მონაცემების გაშიფვრისთვის. იყენებს ოთხ ხარვეზს (ორ ახალს) სესიის გასაღების წარმოების პროცესში, რათა აიძულოს მოკლე, სუსტი და პროგნოზირებადი სესიის გასაღების (SKC) გამომავალი. შემდეგ თავდამსხმელი ჩადებს საკუთარ გასაღებს, რაც მას საშუალებას აძლევს გაშიფროს შეტყობინებები და მანიპულირება მოახდინოს ყველა სამომავლო კომუნიკაციაზე.
ეს საშუალებას აძლევს ორი სახის შეტევას:
- იმიტაცია. როდესაც ფიქრობთ, რომ აგზავნით მონაცემებს ცნობილ მოწყობილობაზე (მაგალითად, AirDrop-ის საშუალებით), მაშინ როცა რეალურად ხართ დაკავშირებული თავდამსხმელის მოწყობილობასთან
- Man-in-the-Middle (MitM) შეტევა. მასთან ერთად, თქვენ აგზავნით მონაცემებს დანიშნულ მოწყობილობაზე, მაგრამ მონაცემებს წყვეტს თავდამსხმელი, ამიტომ კოპირდება
ყველა მოწყობილობა, რომელიც იყენებს Bluetooth 4.2-5.4-ს, დაუცველია დაუცველობის მიმართ. პრობლემის გადაწყვეტა ჯერ არ არის. რისკების შესამცირებლად რეკომენდებულია Bluetooth-ის გამორთვა საზოგადოებრივ ადგილებში, თუ ეს საჭირო არ არის.
