Bluetooth-атака BIAS угрожает устройствам с прошивками Apple, Broadcom, Cypress, Intel, Samsung - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

      
      
  • 24 марта 2016, 16:20
19-05-2020, 16:03
Bluetooth-атака BIAS угрожает устройствам с прошивками Apple, Broadcom, Cypress, Intel, Samsung - «Новости»
Рейтинг:
Категория: Новости

Эксперты рассказали о новой проблеме в протоколе Bluetooth, получившей название BIAS (Bluetooth Impersonation AttackS). Баг получил идентификатор CVE-2020-10135 и представляет угрозу для классической версии Bluetooth, она же Basic Rate/Enhanced Data Rate, Bluetooth BR/EDR или просто Bluetooth Classic.


В сводную команду исследователей вошли ученые из Швейцарского федерального технологического института в Лозанне (EPFL), Центра информационной безопасности имени Гельмгольца в Германии (CISPA), а также из Оксфордского университета.


Стоит отметить, что летом 2019 года эти же люди рассказали миру о другой Bluetooth-уязвимости, KNOB (CVE-2019-9506).


Корень новой проблемы BIAS заключается в том, как устройства с поддержкой Bluetooth обрабатывают ключ связи (link key), также известный как долгосрочный ключ. Данный ключ генерируется, когда два Bluetooth-устройства впервые соединяются (сопрягаются). По сути, они «договариваются» о долгосрочном ключе, который будут использовать для получения ключей сессий в будущем, чтобы не вынуждать владельцев устройств каждый раз вновь проходить длительный процесс сопряжения.


Исследователи объясняют, что обнаружили проблему в процессе аутентификации после сопряжения девайсов. Данный баг позволяет злоумышленнику выдать себя за ранее сопряженное устройство, пройти аутентификацию и подключиться к другому устройству, не зная ключа связи, который ранее был установлен между ними.


По сути, осуществив атаку BIAS, злоумышленник может получить доступ к другому устройству с поддержкой Bluetooth Classic или даже перехватить контроль над ним.




Эксперты опробовали свою атаку против широкого спектра устройств, включая смартфоны (iPhone, Samsung, Google, Nokia, LG, Motorola), планшеты (iPad), ноутбуки (MacBook, HP Lenovo), наушники (Philips, Sennheiser) и одноплатные компьютеры (Raspberry Pi, Cypress). Все проверенные устройства оказались уязвимы перед BIAS.



Bluetooth-атака BIAS угрожает устройствам с прошивками Apple, Broadcom, Cypress, Intel, Samsung - «Новости»

«Поскольку эта атака затрагивает практически все устройства “говорящие по Bluetooth”, в декабре 2019 года мы провели ответственное раскрытие проблемы и привлекли к делу Bluetooth Special Interest Group (Bluetooth SIG) — организацию по стандартизации, которая контролирует разработку стандартов Bluetooth, — чтобы убедиться, что будут созданы и применены средства для обхода уязвимости», — говорят эксперты.


Специалисты Bluetooth SIG уже выпустили собственный пресс-релиз, в котором уверяют, что базовая спецификация Bluetooth была обновлена: злоумышленники не смогут осуществить даунгрейд Bluetooth Classic и понизить соединение с надежного метода аутентификации (secure) до legacy, что и делало атаку BIAS возможной.


Стоит отметить, что, по словам экспертов, если объединить BIAS с упомянутой выше проблемой KNOB, атакующий сможет нарушить аутентификацию даже на устройствах Bluetooth Classic, работающих в режиме надежной аутентификации. То есть для полной безопасности необходимы патчи для обеих проблем.


Ожидается, что в ближайшие месяцы производители Bluetooth-устройств выпустят обновления своих прошивок, устраняющие проблему. Однако статус и доступность этих патчей в настоящее время неясны даже для самих представителей исследовательской группы.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты рассказали о новой проблеме в протоколе Bluetooth, получившей название BIAS (Bluetooth Impersonation AttackS). Баг получил идентификатор CVE-2020-10135 и представляет угрозу для классической версии Bluetooth, она же Basic Rate/Enhanced Data Rate, Bluetooth BR/EDR или просто Bluetooth Classic. В сводную команду исследователей вошли ученые из Швейцарского федерального технологического института в Лозанне (EPFL), Центра информационной безопасности имени Гельмгольца в Германии (CISPA), а также из Оксфордского университета. Стоит отметить, что летом 2019 года эти же люди рассказали миру о другой Bluetooth-уязвимости, KNOB (CVE-2019-9506). Корень новой проблемы BIAS заключается в том, как устройства с поддержкой Bluetooth обрабатывают ключ связи (link key), также известный как долгосрочный ключ. Данный ключ генерируется, когда два Bluetooth-устройства впервые соединяются (сопрягаются). По сути, они «договариваются» о долгосрочном ключе, который будут использовать для получения ключей сессий в будущем, чтобы не вынуждать владельцев устройств каждый раз вновь проходить длительный процесс сопряжения. Исследователи объясняют, что обнаружили проблему в процессе аутентификации после сопряжения девайсов. Данный баг позволяет злоумышленнику выдать себя за ранее сопряженное устройство, пройти аутентификацию и подключиться к другому устройству, не зная ключа связи, который ранее был установлен между ними. По сути, осуществив атаку BIAS, злоумышленник может получить доступ к другому устройству с поддержкой Bluetooth Classic или даже перехватить контроль над ним. Эксперты опробовали свою атаку против широкого спектра устройств, включая смартфоны (iPhone, Samsung, Google, Nokia, LG, Motorola), планшеты (iPad), ноутбуки (MacBook, HP Lenovo), наушники (Philips, Sennheiser) и одноплатные компьютеры (Raspberry Pi, Cypress). Все проверенные устройства оказались уязвимы перед BIAS. «Поскольку эта атака затрагивает практически все устройства “говорящие по Bluetooth”, в декабре 2019 года мы провели ответственное раскрытие проблемы и привлекли к делу Bluetooth Special Interest Group (Bluetooth SIG) — организацию по стандартизации, которая контролирует разработку стандартов Bluetooth, — чтобы убедиться, что будут созданы и применены средства для обхода уязвимости», — говорят эксперты. Специалисты Bluetooth SIG уже выпустили собственный пресс-релиз, в котором уверяют, что базовая спецификация Bluetooth была обновлена: злоумышленники не смогут осуществить даунгрейд Bluetooth Classic и понизить соединение с надежного метода аутентификации (secure) до legacy, что и делало атаку BIAS возможной. Стоит отметить, что, по словам экспертов, если объединить BIAS с упомянутой выше проблемой KNOB, атакующий сможет нарушить аутентификацию даже на устройствах Bluetooth Classic, работающих в режиме надежной аутентификации. То есть для полной безопасности необходимы патчи для обеих проблем. Ожидается, что в ближайшие месяцы производители Bluetooth-устройств выпустят обновления своих прошивок, устраняющие проблему. Однако статус и доступность этих патчей в настоящее время неясны даже для самих представителей исследовательской группы.
Просмотров: 469
Комментариев: 0:   19-05-2020, 16:03
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: