Миллиарды смартфонов, планшетов, ноутбуков и устройств интернета вещей используют программное обеспечение Bluetooth, уязвимое к атакам с использованием обнаруженной еще этим летом программной ошибки. Значительная их часть никогда не получит "защитных" обновлений.
Уязвимость под названием BLESA (Bluetooth Low Energy Spoofing Attack) затрагивает устройства, использующие протокол Bluetooth Low Energy (BLE). Это вариант классического протокола Bluetooth, оптимизированный с прицелом на минимизацию затрат энергии при поддержании постоянного подключения. Благодаря высокой энергоэффективности он в последние годы использовался все более широко
Как пишет ZDnet, исследователи в области компьютерной безопасности из Университета Пёрдью решили изучить процесс повторного соединения, выполняемого всеми уже сопряженными BLE-устройствами когда, например, устройство-клиент перезагружается или оказывается в радиусе действия Bluetooth-подключения устройства-сервера. Например, это происходит, когда пользователь фитнес-браслета вернулся домой после пробежки, на которую не брал смартфон.
Как выяснилось, требования протокола BLE к процедуре проверки криптографических ключей при повторном соединении оказались недостаточно строгими. В итоге в большинстве устройств процедура реализована так, что авторизация является необязательной и устройство-сервер можно заставить не требовать у устройства-клиента сверки ключей.
Это делает возможной атаку BLESA, в которой злоумышленник, находясь в радиусе действия Bluetooth LE, обходит верификацию при переподключении и отправляет на смартфон или другое устройство подложные данные. Уязвимость, в частности, затрагивала программные компоненты Bluetooth Low Energy, используемые в операционной системе Linux для устройств интернета вещей, Android и iOS, но не грозила при этом Windows-компьютерам.
В опубликованной в августе работе исследователи сообщили, что Apple устранила уязвимость в одном из недавних обновлений, однако использовавшееся для тестов Android-устройство — смартфон Pixel XL с Android 10 — по-прежнему оставалось уязвимым. Разработчики кода для гаджетов интернета вещей на Linux сообщили при этом, что откажутся от элементов, делающих возможной атаку BLESA.
Однако, отмечает ZDnet, применение программных обновлений займет много времени и вряд ли будет возможно на всех подверженных уязвимости устройствах. Например, многие гаджеты интернета вещей в принципе лишены механизмов обновления встроенного программного обеспечения. Производители многих бюджетных Android-смартфонов также предпочитают не тратить ресурсы на разработку обновлений прошивок.