Мобільні додатки для управління Bluetooth-пристроями містять вбудовану помилку, що робить їх уразливими до хакерських атак.

Як пояснив фахівець Університету штату Огайо Чжицян Лінь, проблема криється в тому, як пристрої з підтримкою технології Bluetooth Low Energy обмінюються даними з контролюючими їх додатками.

“Існує фундаментальна помилка, яка робить пристрої уразливими – спочатку під час першого підключення до мобільного додатку, а потім знову, коли вони працюють. Хоча небезпека уразливості варіюється, ми виявили, що вона є типовою проблемою під час  зв’язку пристроїв Bluetooth Low Energy з мобільними додатками”, – сказав Лінь.

Пристрої Bluetooth Low Energy (в тому числі фітнес-трекери, смарт-термостати, смарт-колонки, “розумні” домашні помічники тощо) під час першого підключення до контролюючих їх додатків відправляють на смартфон користувача унікальний ідентифікатор UUID. Цей ідентифікатор дозволяє додатку розпізнати пристрій і забезпечує канал зв’язку для обміну даними.

Однак UUID також вбудований в код самого додатка (в іншому випадку він не зміг би розпізнати пристрій), що робить пристрій уразливим до атак. Як мінімум, зловмисник може скористатися UUID з метою дізнатися, чи є в будинку жертви певний Bluetooth-пристрій. У разі, якщо передача даних між пристроєм та додатком не шифрується або шифрується неналежним чином, зловмисник зможе перехоплювати дані.

До речі, команда дослідників із безпеки виявила критичні уразливості в стандарті мобільного зв’язку п’ятого покоління (5G), експлуатація яких дозволила здійснити кілька атак, таких як відстеження розташування, передача помилкових аварійних оповіщень і повне відключення 5G-з’єднання телефону від мережі.

Зверніть увагу, що в Huawei вирішили прискорити темпи розробки HarmonyOS, версія для смартфонів офіційно запуститься протягом найближчих 6-9 місяців.

Також Міністерство оборони США звинуватило кіберзлочинців, які працюють на уряд Північної Кореї, в кібератаках на фінансовий сектор, в тому числі на мережу SWIFT, з метою збагачення.

Стало відомо, що дохід від кіберзлочинності оцінюється в $ 1,5 трлн, в той час як загальний обсяг ринку кібербезпеки в 2019 році склав $ 136 млрд.

Дослідники безпеки виявили уразливості в декількох популярних Android-телефонах. За словами експертів, проблема зачіпає як мінімум 10 популярних Android-пристроїв, в тому числі Google Pixel 2, Huawei Nexus 6P і Samsung Galaxy S8 Plus.

Ця стаття Перше підключення пристрою Bluetooth – подарунок для хакера раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин