KNOB - poważna luka bezpieczeństwa wykryta w standardzie Bluetooth
Inżynierowie z Bluetooth SIG opublikowali ostatnio notę dotyczącą poważnego błędu w specyfikacji standardu Bluetooth. Opisuje ona lukę nazwaną KNOB, która umożliwia zaatakowanie niemal dowolnego urządzenia zgodnego ze standardem Bluetooth Classic i przechwytywanie wysyłanych przez nie danych.
Konrad Hazi
Grupa inżynierów odkryła krytyczny błąd w specyfikacji Bluetooth, który sprawia, że miliony urządzeń na całym świecie podatne są na włamania. Organizacja Bluetooth SIG, która zajmuje się przeglądem standardów rzeczonej technologii, opublikowała notę bezpieczeństwa, w której informuje o metodzie KNOB.
Problem na poziomie specyfikacji
Sposób obejścia zabezpieczeń jest sprytny i polega na wymuszeniu zmiany długości klucza kryptograficznego na zaledwie 8 bitów (standard Bluetooth pozwala na wykorzystywanie kluczy o długości od 8 do 128 bitów), który jest bardzo łatwy do złamania (256 kombinacji). Sprawia to, że wtargnięcie nie jest zbyt skomplikowane, a nawiązanie połączenia umożliwia przechwytywanie danych przesyłanych pomiędzy urządzeniami, takich jak dźwięk czy pliki.
Co gorsza, wykorzystanie tego exploita pozwala na połączenie się również ze sparowanymi już urządzeniami. Jak się jednak okazuje, problem ma dotyczyć wyłącznie sprzętu wyposażonego w moduł zgodny ze standardem Bluetooth BR/EDR (znany także jako Bluetooth Classic) lub obsługujących dual mode. Urządzenia korzystające wyłącznie z wersji Bluetooth LE, czyli alternatywnej, niskoenergetycznej odmiany standardu nie są narażone.
Bluetooth – nagi i bezbronny…
Próba ataku może być skuteczna wyłącznie w sytuacji, gdy obie strony połączenia będą podatne na metodę KNOB. Na ten moment wygląda jednak, że problem dotyczy większości urządzeń obsługujących Bluetooth Classic w wersji od 1.0 do 5.1.
Atak KNOB możliwy jest ze względu na błędy w specyfikacji technologii Bluetooth. W związku z tym wszystkie urządzenia zgodne ze standardem Bluetooth można uznać za podatne. Przeprowadziliśmy ataki KNOB na ponad 17 różnych chipach obsługujących Bluetooth (sprawdzając 24 różne urządzenia). W momencie, w którym powstawał ten tekst, udało nam się przetestować układy od producentów takich jak Broadcom, Qualcomm, Apple, Intel oraz Chicony. Wszystkie przetestowane modele były podatne na atak KNOB - stwierdzili odkrywcy luki.
Giganci tacy jak Apple czy Microsoft wypuścili już łatki, które mają na celu zażegnanie niebezpieczeństwa. Zmieniona została także podstawowa specyfikacja standardu Bluetooth, która zwiększa minimalną długość klucza kryptograficznego do 56 bitów. Jednak aby zwalczyć to „poważne zagrożenie dla bezpieczeństwa i prywatności użytkowników technologii Bluetooth”, jak określili podatność jej odkrywcy, konieczna jest aktualizacja wszystkich urządzeń, gdy tylko pojawią się odpowiednie łatki. Cóż, to kolejna poważna dziura w zabezpieczeniach, która z pewnością towarzyszyła nam od dłuższego czasu…
Komentarze czytelników
TRX Generał
Jeśli chodzi o szukanie luk w oprogramowaniu to nie ma pytania "gdzie", tylko "kiedy". Ostatecznie wszystko programuje człowiek, a ten jest przecież omylny.
topyrz Senator
Jakoś podejrzanie po drodze luki producentom. Żeby tylko aktualizować, wymieniać, bać się starego, ale najważniejsze, żeby kupować nowe.
BartekTenMagik Senator
Chyba to jest w ten sposób żeby ludzie kupowali tylko najnowsze i najdroższe. Co lepsze pewnie dlatego ze te stare to niezniszczalne prawie. Nokię się nie boją jakoś czasu :) tak jak stare baterie od nokii. Mam takie radio na baterie od nokii i po 3 latach nie używania radia (naładowane chyba zostało do połowy i wyniesione na strych) nadal było naładowane do tego stopnia ze po włączeniu grało cały dzień :) tak jak laptopy. Kiedyś jakoś nie słyszałem żeby się w laptopie karta graficzna spaliła czy coś takiego. A teraz to dość często słyszę o takich przypadkach.
WolfDale Legend
Teraz odnoszę wrażenie, że producenci specjalnie w aktualizacjach sami robią luki aby przestraszyć posiadaczy urządzeń aby polecieli do sklepu po najnowsze. Potem za rok znów to samo i biznes się kręci.
GRYOnline.pl:
tvgry.pl:
