EURECOM жогорку инженердик мектебинин изилдөөчүлөрү өткөн жана келечектеги байланыштарды бузуп, маалыматтарды кармап турууга жана чечмелөөгө мүмкүндүк берген Bluetooth туташууларына чабуулдун алты ыкмасын иштеп чыгышты. Кол салуулар жалпысынан BLUFFS деп аталды.
BLUFFS чабуулдары алмашуу учурунда маалыматтарды чечмелөө үчүн колдонулган сеанс ачкычтарын алуу менен байланышкан Bluetooth стандартында мурда белгисиз эки алсыздыктын ачылышы менен мүмкүн болду. Бул алсыздыктар аппараттык же программалык камсыздоонун конфигурациясына байланыштуу эмес, бирок фундаменталдык деңгээлде Bluetooth стандартынын архитектурасына жетет - аларга номер ыйгарылган. CVE-2023-24023, жана алар Bluetooth спецификациясынын 4.2 (2014-жылдын декабрында чыгарылган) 5.4 (февраль 2023) версияларына таасирин тийгизет, бирок эксплуатация бир аз башка версия диапазонунда иштөөсү тастыкталган. Протоколдун кеңири жайылышына жана анын версияларына негизделген чабуулдардын кеңири спектрине байланыштуу, BLUFFS миллиарддаган түзмөктөрдө, анын ичинде смартфондордо жана ноутбуктарда иштей алат.
BLUFFS эксплуатацияларынын сериясы мурунку жана келечектеги түзмөк байланыштарынын купуялуулугун бузуп, Bluetooth байланыш сеанстарынын коргоосун бузууга багытталган. Натыйжага сеанс ачкычын алуу процессинде төрт алсыздыкты пайдалануу менен жетишилет - ал алсыз жана алдын ала айтууга аргасыз. Бул чабуулчуга мурунку байланыш сеанстарын чечмелеп, келечектеги сеанстарды манипуляциялоо менен аны "кара күч" ыкмасы менен тандап алууга мүмкүндүк берет. Чабуул сценарийи чабуулчу эки түзмөктүн тең Bluetooth диапазонунда болот деп болжолдойт жана туруктуу диверсификатор менен минималдуу мүмкүн болгон ачкыч энтропия маанисин сунуштоо менен сеанстын ачкычын сүйлөшүү учурунда тараптардын биринин атынан чыгат.
BLUFFS сериясынын чабуулдарына имперсонация сценарийлери жана MitM (ортодогу адам) чабуулдары кирет - алар жабырлануучулардын коопсуз байланышын сактаганына карабастан иштешет. EURECOM изилдөөчүлөрү GitHub сайтында эксплуатациялардын функционалдуулугун көрсөткөн куралдардын топтомун жарыялашты. Коштоочу макалада (PDF) ар кандай түзмөктөрдө, анын ичинде 4.1ден 5.2ге чейинки версиялардагы смартфондор, ноутбуктар жана Bluetooth гарнитуралары боюнча BLUFFS сыноолорунун натыйжалары берилген, алардын бардыгы алты эксплуатациянын жок дегенде үчөөнө кабылышы мүмкүн. Изилдөөчүлөр буга чейин чыгарылган аялуу түзмөктөр үчүн артка шайкештик принцибин сактоо менен ишке ашырыла турган зымсыз протоколду коргоо ыкмаларын сунушташты. Bluetooth SIG, байланыш стандарты үчүн жооптуу уюм, ишти изилдеп, билдирүү жарыялады, анда ал аны ишке ашыруу үчүн жооптуу өндүрүүчүлөрдү шифрлөөнүн ишенимдүүлүгүн жогорулатуунун орнотууларын колдонуу менен коопсуздукту жогорулатууга жана "коопсуз байланыштар гана" режимин колдонууга чакырды. жупташтыруу учурунда.
Ошондой эле окуңуз: