Міжнародна група дослідників виявила уразливість в протоколі Bluetooth, що дозволяє отримувати контроль над Bluetooth-пристроєм.
Уразливість отримала назву BIAS (Bluetooth Impersonation AttackS – атака імперсонації Bluetooth) і ідентифікатор CVE-2020-10135. Проблема зачіпає класичну версію протоколу, відому як Basic Rate/Enhanced Data Rate, Bluetooth BR/EDR або просто Bluetooth Classic, і існує через те, як Bluetooth обробляє ключ довготривалого користування.
Ключ довготривалого користування генерується під час першого сполучення двох пристроїв через Bluetooth. З його допомогою обидва пристрої зможуть отримувати ключі сеансу під час майбутніх підключень без необхідності знову проходити тривалий процес сполучення. Дослідники знайшли слабке місце в процесі аутентифікації після створення пари пристроїв. Як виявилося, зловмисник може підробити раніше під’єднаний через Bluetooth пристрій, пройти аутентифікацію, під’єднатися до атакованого гаджету без ключа довготривалого користування і захопити над ним контроль.
Дослідники успішно протестували свою атаку на смартфонах (iPhone, Samsung, Google, Nokia, LG, Motorola), планшетах (iPad), ноутбуках (MacBook, HP, Lenovo), навушниках (Philips, Sennheiser) і однокристальних системах (Raspberry Pi, Cypress). Оскільки уразливість зачіпає практично всі Bluetooth-пристрої, вчені повідомили про неї організацію Bluetooth Special Interest Group (Bluetooth SIG) і опублікували подробиці тільки після виходу виправлення.
У минулому році команда дослідників виявила ще одну уразливість в Bluetooth, що отримала назву KNOB ( CVE-2019-9506 ). За їх словами, експлуатація KNOB і BIAS в зв’язці дозволяє зламати процес аутентифікації навіть на пристроях, запущених в режимі безпечної аутентифікації.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?
ЯК НАЛАШТУВТАИ НОВИЙ ІНТЕРФЕЙС У НАСТІЛЬНІЙ ВЕРСІЇ FACEBOOK? – ІНСТРУКЦІЯ
ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ
Нагадаємо, фахівці ІБ-компанії Malwarebytes виявили нову шкідливу кампанію, під час якої зловмисники викрадають дані банківських карт користувачів за допомогою вбудованого в сайт шкідливого ПЗ.
Зверніть увагу, хакерська група Shiny Hunters заявила, що викрала 500 ГБ даних із депозиторіїв технічного гіганта Microsoft на платформі розробників GitHub, якою володіє компанія.
Також дослідники безпеки з компанії VPNpro проаналізували 20 найпопулярніших VPN-сервісів і виявили, що два з них містять уразливості, які зловмисники можуть проексплуатувати для перехоплення з’єднання з метою відправлення підроблених оновлень і встановлення шкідливих програм або крадіжки даних користувача.
Коли у Вас кілька облікових записів, тримати у голові усі паролі до них стає складно. Ви можете вдатися до простих комбінацій, однак це лише одна з багатьох помилок, які Ви можете допустити. Ознайомитеся із п’ятьма найпоширенішими помилками, до яких Ви можете вдатися під час створення та використання паролів.
До речі, купувати поганий ноутбук стає складніше, але те, що відрізняє найкращі ноутбуки від хороших ноутбуків, – це те, як вони врівноважують потужність, ефективність, портативність та комфорт. Як вибрати з-поміж кращих пропозицій, які вже є на ринку, читайте у статті.
