Bezpečnost | Hacking | Bluetooth

Nově odhalená zranitelnost v Bluetooth dovoluje hackerům vydávat se za důvěryhodné zařízení

Bezpečnostní experti našli novou chybu v komunikačním protokolu Bluetooth, která umožňuje hackerům vydávat se za důvěryhodné zařízen. Ve své zprávě varují, že se odhalený bezpečnostní nedostatek týká několika miliard zařízení, využívajících tento způsob komunikace.

Nově objevená díra v protokolu například umožňuje hackerům oklamat chytrý telefon tak, aby se připojil k jejich přístroji, napodobujícímu důvěryhodné zařízení. Dobrou zprávou je, že ke zmírnění rizika musí výrobci provést relativně malé změny.

Díra v Bluetooth

Na bezpečnostní nedostatek přišli odborníci ze Švýcarského federálního technologického institutu v Lausanne. Metodu útoku označili jako Bluetooth Impersonation Attacks (BIAS) a v kostce jde o předstírání identity jiného zařízení.

Chyba souvisí s technologií Bluetooth Classic, která podporuje dva typy bezdrátového přenosu dat mezi zařízeními: základní Basic Rate (BR) a rozšířený Enhanced Data Rate (EDR). K úspěšnému provedení je nutné, aby se zařízení útočníka a oběti nacházela ve vzájemném dosahu.

Akademici vysvětlují, že „specifikace Bluetooth obsahuje zranitelnosti, které umožňují provádět útoky předstíráním identity během navazování zabezpečeného připojení. Mezi takové zranitelnosti patří absence povinného vzájemného ověřování, příliš liberální přepínání rolí a downgrade ověřovací procedury.“

Jednoduchý útok

V úvodní fázi musí útočník odposlechnout komunikaci mezi zařízeními – například mezi telefonem a bezdrátovými sluchátky – a zjistit jejich adresy. Následně se hacker připojí a vydává se za jedno ze zařízení. Chyba mu umožní číst informace z cílového zařízení nebo do něj přenášet data.

Úspěchu je dosaženo napodobením důvěryhodného zařízení a předstíráním, že podporuje pouze jednostranné ověření, což je nejnižší úroveň zabezpečení komunikačního protokolu Bluetooth. K provedení stačí levná technika například v podobě počítače Raspberry Pi.

Experti ve svém příspěvku uvádějí, že tento postup ověřili na třiceti zařízeních vybavených 28 různými Bluetooth čipy. Na seznamu se objevuje několik modelů smartphonů od společností Apple, Nokia, Samsung a Google, či notebooky značek HP a Lenovo.

S ohledem na tato zjištění zavedla organizace Bluetooth SIG, která dohlíží na vývoj technologie Bluetooth, řadu změn v základní specifikaci protokolu. Jejich cílem je „vyjasnit, kdy je povoleno přepínání rolí, vyžadování vzájemného ověřování starším typem autentizace a doporučení kontrolovat typ šifrování, aby nedošlo ke snížení kvality zabezpečeného připojení.“

Váš názor Další článek: Jak na dálku přistupovat k datům na NASu: Hlavně bezpečně! [seriál]

Témata článku: Google, Apple, Bezpečnost, Lenovo, Hacking, Raspberry Pi, Samsung, Bluetooth, Nokia, Odposlech, Švýcarsko, Hacker, Enhanced Data Rate, Zařízení, BIAS, Bezpečnostní nedostatek, Bluetooth SIG, Ověřování, Přepínání, EDR, Zranitelnost, Zabezpečené připojení, Lausanne, Protokol, Basic Rate


Určitě si přečtěte

Zkusili jsme Ryzen 7 4800HS v notebooku Asus: drtí Intel výkonem a umí být potichu

Zkusili jsme Ryzen 7 4800HS v notebooku Asus: drtí Intel výkonem a umí být potichu

** Nové osmijádro AMD pro herní notebooky překvapuje výkonem ** V rámci notebooku ROG Zephyrus G15 umí být tiché i výkonné** Rozhodnou hlavně prodávané konfigurace s lepší grafikou

Tomáš Holčík | 57

Šest nejlepších služeb a aplikací pro automatizaci online světa a chytré domácnosti

Šest nejlepších služeb a aplikací pro automatizaci online světa a chytré domácnosti

** Nastavte si automatiku na každodenní rutinní záležitosti ** Propojte online služby a chytrou domácnost ** Vybrali jsme šest nejlepších služeb pro automatizaci

Karel Kilián | 14

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

** Britský Canonical před pár dny vydal novou verzi svého Ubuntu ** 20.04 LTS zapracovalo na grafickém desktopu, rychlosti i bezpečnosti ** V nitru tepe Linux 5.4 a volitelně i nový souborový systém

Jakub Čížek | 118

Galerie: Podívejte se na čínský Linux, se kterým to na svých PC zkusil i Huawei

Galerie: Podívejte se na čínský Linux, se kterým to na svých PC zkusil i Huawei

** Huawei se loni dostal do křížku s USA ** Začal to proto zkoušet s konkurenčním operačním systémem ** Jmenuje se Deepin a před pár dny se dočkal nové verze

Jakub Čížek | 36


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X