Nová bezpečnostní slabina čipu Bluetooth by mohla umožnit hackerům sledovat a krást data uživatelů

Lior Neumann a Eli Biham z Izraelského technologického institutu objevili v čipu Bluetooth slabinu, která by mohla umožnit hackerům sledovat a krást přes něj odesílaná data. Bug se týká firmwaru a operačního systému zařízení velkých technologických firem jako Apple, Intel, Qualcomm nebo Broadcom.

Kryptografický exploit, který byl do americké národní databáze bezpečnostních slabin zanesen pod označením CVE-2018-5383, podle zjištění akademiků postihuje Bluetooth zařízení, která nedostatečně ověřují šifrovací parametry během navazování spojení. Existenci bugu potvrdil i Intel a skupina CERT.

Slabina postihuje funkce Secure Simple Pairing a Low Energy Secure Connections a umožňuje hackerům v blízkosti 30 m od zařízení zachytávat datový provoz a manipulovat s ním v okamžiku, kdy jedno zařízení posílá data na druhé. Doposud každopádně nebyly zaznamenány žádné pokusy o využití této slabiny.

Některé velké společnosti, jako např. Apple, Intel nebo Qualcomm, již vydaly záplaty. Apple problém vyřešil vydáním nových, resp. novějších verzí svých operačních systémů – macOS High Sierra 10.13.5, iOS 11.4 watchOS 4.3.1 a tvOS 11.4.

Sdružení Bluetooth Special Interest Group, které má na starosti rozvoj standardů Bluetooth, v prohlášení uvedlo, že aktualizovalo oficiální Bluetooth specifikace, a updatovaný standard nyní vyžaduje, aby „produkty validovaly jakýkoli veřejný klíč, který obdržely jako součást bezpečnostních procedur založených na ověřování klíčů“.

Zdroj: techspot.com