Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Эксперты рассказали о новой проблеме в протоколе Bluetooth, получившей название BIAS (Bluetooth Impersonation AttackS). Баг получил идентификатор CVE-2020-10135 и представляет угрозу для классической версии Bluetooth, она же Basic Rate/Enhanced Data Rate, Bluetooth BR/EDR или просто Bluetooth Classic.
В сводную команду исследователей вошли ученые из Швейцарского федерального технологического института в Лозанне (EPFL), Центра информационной безопасности имени Гельмгольца в Германии (CISPA), а также из Оксфордского университета.
Стоит отметить, что летом 2019 года эти же люди рассказали миру о другой Bluetooth-уязвимости, KNOB (CVE-2019-9506).
Корень новой проблемы BIAS заключается в том, как устройства с поддержкой Bluetooth обрабатывают ключ связи (link key), также известный как долгосрочный ключ. Данный ключ генерируется, когда два Bluetooth-устройства впервые соединяются (сопрягаются). По сути, они «договариваются» о долгосрочном ключе, который будут использовать для получения ключей сессий в будущем, чтобы не вынуждать владельцев устройств каждый раз вновь проходить длительный процесс сопряжения.
Исследователи объясняют, что обнаружили проблему в процессе аутентификации после сопряжения девайсов. Данный баг позволяет злоумышленнику выдать себя за ранее сопряженное устройство, пройти аутентификацию и подключиться к другому устройству, не зная ключа связи, который ранее был установлен между ними.
По сути, осуществив атаку BIAS, злоумышленник может получить доступ к другому устройству с поддержкой Bluetooth Classic или даже перехватить контроль над ним.
Эксперты опробовали свою атаку против широкого спектра устройств, включая смартфоны (iPhone, Samsung, Google, Nokia, LG, Motorola), планшеты (iPad), ноутбуки (MacBook, HP Lenovo), наушники (Philips, Sennheiser) и одноплатные компьютеры (Raspberry Pi, Cypress). Все проверенные устройства оказались уязвимы перед BIAS.
«Поскольку эта атака затрагивает практически все устройства “говорящие по Bluetooth”, в декабре 2019 года мы провели ответственное раскрытие проблемы и привлекли к делу Bluetooth Special Interest Group (Bluetooth SIG) — организацию по стандартизации, которая контролирует разработку стандартов Bluetooth, — чтобы убедиться, что будут созданы и применены средства для обхода уязвимости», — говорят эксперты.
Специалисты Bluetooth SIG уже выпустили собственный пресс-релиз, в котором уверяют, что базовая спецификация Bluetooth была обновлена: злоумышленники не смогут осуществить даунгрейд Bluetooth Classic и понизить соединение с надежного метода аутентификации (secure) до legacy, что и делало атаку BIAS возможной.
Стоит отметить, что, по словам экспертов, если объединить BIAS с упомянутой выше проблемой KNOB, атакующий сможет нарушить аутентификацию даже на устройствах Bluetooth Classic, работающих в режиме надежной аутентификации. То есть для полной безопасности необходимы патчи для обеих проблем.
Ожидается, что в ближайшие месяцы производители Bluetooth-устройств выпустят обновления своих прошивок, устраняющие проблему. Однако статус и доступность этих патчей в настоящее время неясны даже для самих представителей исследовательской группы.
|
|