Органы кибербезопасности США и Bluetooth SIG выпустили предупреждения об уязвимости, которая позволяет атаковать человека посередине неавторизованными пользователями, потенциально затрагивая сотни миллионов устройств с беспроводным протоколом передачи данных.
Названные BLURtooth, исследователи из Cole Polytechnique Fédérale de Lausanne во Франции и Университета Пердью в США обнаружили, что они могут перезаписывать или ослаблять сильные ключи шифрования, используемые для безопасного сопряжения устройств Bluetooth.
Команда компьютерного реагирования на чрезвычайные ситуации Университета Карнеги-Меллона (CERT) заявила, что уязвимость в Кросс-транспортной деривации ключей (CTKD) может дать злоумышленникам доступ к профилям и услугам, предлагаемым уязвимыми устройствами Bluetooth.
Уязвимость проистекает из недостатка реализации в спецификациях Bluetooth Classic и Low Energy (BLE) 4.2-5.0
Помимо того, что устройства должны быть в беспроводной досягаемости друг от друга, они должны поддерживать двухрежимную базовую скорость/повышенную скорость передачи данных (BR/EDR) и методы BLE для аутентификации с помощью CTKD.
Признавая уязвимость BLURtooth, Bluetooth SIG рекомендует venderos реализовать ограничения на CTKD, которые были введены в Базовую спецификацию беспроводного протокола начиная с версии 5.1.
Группа интересов также ведет переговоры с компаниями-членами, чтобы побудить их быстро разрабатывать и распространять патчи для BLURtooth.
