Сегодня 17 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В протоколе Bluetooth нашли фундаментальные уязвимости, позволяющие перехватывать данные

Исследователи высшей инженерной школы EURECOM разработали шесть методов атак на соединения Bluetooth, позволяющие перехватывать и дешифровывать данные, компрометируя прошлые и будущие соединения. Атаки получили общее название BLUFFS.

Атаки BLUFFS оказались возможными из-за обнаружения двух ранее неизвестных уязвимостей стандарта Bluetooth, связанных с получением ключей сеанса, которые используются для расшифровки данных при обмене. Эти уязвимости не связаны с конфигурацией оборудования или программного обеспечения, а восходят к архитектуре стандарта Bluetooth на фундаментальном уровне — им присвоен номер CVE-2023-24023, и они затрагивают спецификацию Bluetooth версий с 4.2 (вышла в декабре 2014 года) по 5.4 (февраль 2023 года), хотя работоспособность эксплойта подтверждена на немного другом диапазоне версий. Учитывая широкое распространение протокола и широкий спектр действия атак по его версиям, BLUFFS может работать на миллиардах устройств, включая смартфоны и ноутбуки.

Серия эксплойтов BLUFFS нацеливается на нарушение защиты сеансов связи по протоколу Bluetooth, ставя под угрозу конфиденциальность прошлых и будущих подключений устройств. Результат достигается за счёт эксплуатации четырёх уязвимостей в процессе получения ключа сеанса — он в принудительном порядке устанавливается слабым и предсказуемым. Это позволяет злоумышленнику подбирать его методом «грубой силы», расшифровывая предыдущие сеансы связи и манипулируя будущими. Сценарий атаки предполагает, что злоумышленник находится в зоне действия Bluetooth обоих устройств и выдаёт себя за одну из сторон при согласовании ключа сеанса, предлагая минимально возможное значение энтропии ключа с постоянным диверсификатором.

Атаки серии BLUFFS включают в себя сценарии выдачи злоумышленником себя за другой субъект и MitM-атаку (man-in-the-middle) — они срабатывают независимо от того, поддерживают ли жертвы защищённое соединение. Набор инструментов, демонстрирующий работоспособность эксплойтов, исследователи EURECOM опубликовали на GitHub. В сопроводительной статье (PDF) представлены результаты испытаний BLUFFS на различных устройствах, включая смартфоны, ноутбуки и наушники с Bluetooth версий от 4.1 до 5.2 — все они подвержены как минимум трём из шести эксплойтов. Исследователи предложили методы защиты беспроводного протокола, которые можно внедрить с сохранением принципа обратной совместимости для уже выпущенных уязвимых устройств. Ответственная за стандарт связи организация Bluetooth SIG изучила работу и опубликовала заявление, в котором призвала ответственных за его реализацию производителей повысить защиту, используя настройки повышенной надёжности шифрования и применять режим «только защищённых соединений» при сопряжении.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Anthropic представила инструмент Skills, который сделает ИИ полезнее в реальной работе 8 ч.
Умер легендарный гейм-дизайнер Томонобу Итагаки — создатель Dead or Alive и отец современной Ninja Gaiden 9 ч.
OnePlus представила OxygenOS 16 в стиле iOS с расширенными ИИ-функциями и не только 10 ч.
Мультиплеерной игрой Quantic Dream оказалась условно-бесплатная MOBA — первый трейлер, геймплей и подробности Spellcasters Chronicles 10 ч.
Battlefield 6 установила новый рекорд скорости продаж для франшизы — 7 миллионов копий за три дня 12 ч.
Партнёр PayPal по блокчейну случайно выпустил стейблкоины на $300 триллионов 13 ч.
Windows 11 получит голосовое управление, будет следить за происходящим на экране и выполнять поручения пользователя 13 ч.
Приложения Facebook Messenger для Windows и macOS перестанут работать через 60 дней 13 ч.
Разработчик Heavy Rain и Detroit: Become Human впервые взялся за мультиплеерную игру, а Star Wars Eclipse всё ещё жива 14 ч.
Спрос на молодых айтишников в Великобритании рухнул на 46 % из-за ИИ — дальше будет хуже 14 ч.
Nintendo намерена до марта выпустить 25 млн игровых консолей Switch 2 2 ч.
Британцы раздумывали над уничтожением дата-центра с секретными данными, который по недосмотру достался компании, связанной с Китаем 6 ч.
Новая статья: Обзор игрового QD-Mini LED VA-монитора MSI MAG 274QPF X30MV: редкое сочетание 7 ч.
Oppo представила сверхтонкие смарт-часы Watch S с 1,46-дюймовым экраном и автономностью до 10 дней 8 ч.
Водители Uber будут обучать искусственный интеллект в перерывах между заказами 9 ч.
Загадочное свечение центра Млечного Пути может пролить свет на тайну тёмной материи 9 ч.
Qualcomm и MediaTek задумались о передаче заказов на выпуск чипов Samsung — TSMC задрала цены 11 ч.
Xiaomi продолжит оснащать флагманы тыловыми дисплеями после успеха Xiaomi 17 Pro 12 ч.
Анонсированы смартфоны Oppo Find X9 и X9 Pro — камеры Hasselblad, чипы Dimensity 9500, ёмкие батареи и цена от $620 12 ч.
Pegatron представила ИИ-сервер AS501-4A1-16I1 с СЖО и 16 ускорителями AMD Instinct MI355X 14 ч.