Сегодня 16 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В протоколе Bluetooth нашли фундаментальные уязвимости, позволяющие перехватывать данные

Исследователи высшей инженерной школы EURECOM разработали шесть методов атак на соединения Bluetooth, позволяющие перехватывать и дешифровывать данные, компрометируя прошлые и будущие соединения. Атаки получили общее название BLUFFS.

Атаки BLUFFS оказались возможными из-за обнаружения двух ранее неизвестных уязвимостей стандарта Bluetooth, связанных с получением ключей сеанса, которые используются для расшифровки данных при обмене. Эти уязвимости не связаны с конфигурацией оборудования или программного обеспечения, а восходят к архитектуре стандарта Bluetooth на фундаментальном уровне — им присвоен номер CVE-2023-24023, и они затрагивают спецификацию Bluetooth версий с 4.2 (вышла в декабре 2014 года) по 5.4 (февраль 2023 года), хотя работоспособность эксплойта подтверждена на немного другом диапазоне версий. Учитывая широкое распространение протокола и широкий спектр действия атак по его версиям, BLUFFS может работать на миллиардах устройств, включая смартфоны и ноутбуки.

Серия эксплойтов BLUFFS нацеливается на нарушение защиты сеансов связи по протоколу Bluetooth, ставя под угрозу конфиденциальность прошлых и будущих подключений устройств. Результат достигается за счёт эксплуатации четырёх уязвимостей в процессе получения ключа сеанса — он в принудительном порядке устанавливается слабым и предсказуемым. Это позволяет злоумышленнику подбирать его методом «грубой силы», расшифровывая предыдущие сеансы связи и манипулируя будущими. Сценарий атаки предполагает, что злоумышленник находится в зоне действия Bluetooth обоих устройств и выдаёт себя за одну из сторон при согласовании ключа сеанса, предлагая минимально возможное значение энтропии ключа с постоянным диверсификатором.

Атаки серии BLUFFS включают в себя сценарии выдачи злоумышленником себя за другой субъект и MitM-атаку (man-in-the-middle) — они срабатывают независимо от того, поддерживают ли жертвы защищённое соединение. Набор инструментов, демонстрирующий работоспособность эксплойтов, исследователи EURECOM опубликовали на GitHub. В сопроводительной статье (PDF) представлены результаты испытаний BLUFFS на различных устройствах, включая смартфоны, ноутбуки и наушники с Bluetooth версий от 4.1 до 5.2 — все они подвержены как минимум трём из шести эксплойтов. Исследователи предложили методы защиты беспроводного протокола, которые можно внедрить с сохранением принципа обратной совместимости для уже выпущенных уязвимых устройств. Ответственная за стандарт связи организация Bluetooth SIG изучила работу и опубликовала заявление, в котором призвала ответственных за его реализацию производителей повысить защиту, используя настройки повышенной надёжности шифрования и применять режим «только защищённых соединений» при сопряжении.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Диски уходят: продажи игр на физических носителях в прошлом году принесли Sony только 3 % от общего объёма выручки 5 мин.
Уникальная и действительно жуткая: журналистка раскрыла первую оценку Silent Hill f за неделю до окончания эмбарго 11 мин.
Вышла Apple macOS Tahoe 26 — она получила интерфейс Liquid Glass, новые средства автоматизации и многое другое 33 мин.
Планы Sony на сентябрьский выпуск State of Play подтвердил ещё один инсайдер — шоу пройдёт совсем скоро 2 ч.
Спустя полтора года в раннем доступе нашумевший симулятор «покемонов с пушками» Palworld взял курс на полноценный релиз 3 ч.
В корпоративном пакете Microsoft 365 заработал бесплатный Copilot Chat 4 ч.
США и Китай договорились об условиях сделки с TikTok, их утвердят в пятницу лидеры этих стран 7 ч.
OpenAI представила GPT-5-Codex — версию GPT-5 с динамическим мышлением для агентного программирования 12 ч.
Apple выпустила watchOS 26: дизайн Liquid Glass, новые функции Apple Intelligence и мониторинг гипертонии 12 ч.
Календарь релизов 15–21 сентября: Dying Light: The Beast, Lego Voyagers, Ratatan, Jump Space 12 ч.
ИТ-холдинг Fplus оказался на грани банкротства — претензии почти на 1 млрд руб. есть уже у трёх банков 34 мин.
OpenAI планирует заняться гуманоидными роботами и собирает команду специалистов в робототехнике 2 ч.
В числе первых чипов, которые выпустит TSMC по 2-нм техпроцессу, окажется следующий Mediatek Dimensity 2 ч.
eSIM от Yesim: как забыть о роуминге и не остаться без связи за границей 3 ч.
Спутниковый интернет Amazon к концу первого квартала 2026 года будет доступен в пяти странах мира 3 ч.
NVIDIA обязалась выкупить у CoreWeave все нераспроданные ИИ-мощности за $6,3 млрд 3 ч.
Умные очки Meta Ray-Ban Display с дисплеем показались на видео до презентации 4 ч.
Завершение сделки по отделению Altera позволило Intel снизить план по операционным расходам на 2025 год на $200 млн 4 ч.
С апрельских минимумов акции Tesla выросли в цене на 85 % 4 ч.
Nvidia намерена оказаться в числе первых клиентов TSMC на ангстремный техпроцесс A16 5 ч.