„Bluetooth“ yra beveik kiekvienoje šiuolaikinėje programėlėje, todėl į naujai atrastą ryšio protokolo trūkumą reikėtų žiūrėti labai rimtai.
Kaip pirmą kartą pranešė „ZDNet“, Davidas Starobinskis ir Johannesas Beckeris iš Bostono universiteto moksliniame darbe išdėstė, kaip išmaniuosius telefonus, nešiojamuosius kompiuterius ir nešiojamus daiktus galima sekti naudojant „Bluetooth“ technologiją.
Remiantis dokumentu, nuolat kintančiuose atsitiktinių imčių MAC adresuose yra trūkumų, kurie yra skirti apsaugoti „Bluetooth“ įrenginius nuo stebėjimo. Šis saugumo metodas gali patekti į blogo veikėjo rankas, leidžiant jiems ne tik sekti įrenginį, bet ir gauti informacijos apie jo tapatybę bei vartotojų veiklą.
Šio „Bluetooth“ trūkumo esmė yra problema, kai žetonų ir atsitiktinių MAC adresų identifikavimas nesikeičia sinchroniškai, o tai leidžia tai, ką „Boston Unversity“ tyrėjai vadina „adreso perkėlimo algoritmu“, nuolat sekti įrenginį naudojant antrinį „pseudo- tapatybę “.
„Adreso perkėlimo algoritmas išnaudoja asinchroninį adreso ir naudingos apkrovos keitimo pobūdį ir naudoja nepakitusius identifikavimo žetonus naudingojoje krovinyje, kad atsektų naują gaunamą atsitiktinį adresą iki žinomo įrenginio“,-rašoma dokumente. "Tai darydamas, adreso perkėlimo algoritmas neutralizuoja anonimiškumo tikslą transliavimo kanaluose, skirtuose dažnai atsitiktinai parinkti adresus".
DAUGIAU: Naujas „Windows 10“ pažeidžiamumas gali leisti įsilaužėliams gauti visišką prieigą …
Ko gero, labiausiai gąsdina tai, kad šis algoritmas neatšifruoja ir yra visiškai pagrįstas viešu, nešifruotu reklamos srautu. Taip pat nerimą kelia tai, kad išnaudojimas buvo išbandytas naudojant „Bluetooth“ mažos energijos (BLE) specifikaciją, kuri yra naujausiame „Bluetooth 5“ standarte.
Tariamai išnaudojimas veikia „Windows 10“, „iOS“ ir „MacOS“ įrenginiuose, įskaitant „iPhone“, „Surface“ įrenginius ir „MacBooks“. „Android“ įrenginiai savo srautą reklamuoja visiškai kitaip (nuskaitydami netoliese esančią reklamą; nėra aktyvaus, nuolatinio stebėjimo) ir yra apsaugoti nuo pažeidžiamumo.
Tyrėjai, atradę „Bluetooth“ trūkumą, išvardijo kelias taisykles, galinčias apsaugoti paveiktus įrenginius, kurių esmė yra sinchronizuoti visus stebėjimo informacijos pakeitimus su įrenginio MAC adreso pakeitimais. „Bluetooth“ įjungimas ir išjungimas „iOS“ ir „MacOS“ įrenginiuose (atsiprašome „Windows“ naudotojų, tai jums nepadės) yra laikinas sprendimas, tačiau gamintojai turi išstumti patvaresnį sprendimą. Tačiau „Bluetooth“ išnaudojimas pirmą kartą buvo atskleistas „Microsoft“ ir „Apple“ 2022-2023–2022 m. Lapkritį, o tai rodo, kad tai nėra didelis šių įmonių prioritetas.
„Kadangi numatoma, kad„ Bluetooth “diegimas nuo 2022-2023 iki 2022 m. Išaugs nuo 4,2 iki 5,2 milijardo įrenginių, tarp jų daugiau nei pusė milijardo nešiojamųjų ir kitų į duomenis orientuotų prijungtų įrenginių, sukuriant sekimui atsparius metodus, ypač nešifruotuose ryšio kanaluose, nepaprastai svarbu “, - rašoma laikraštyje.
Nors žinomi atvejai nebuvo paminėti, tyrėjai įspėja, kad jei BLE pažeidžiamumas nebus patikrintas, priešininkai galiausiai gali derinti pirkimo operacijas, veido atpažinimą ir kitą neskelbtiną informaciją su stebėjimo duomenimis, kad sukurtų veikiamo vartotojo profilį.
- Geriausia antivirusinė programa - geriausia programinė įranga, skirta kompiuteriams, „Mac“ ir „Android“