EURECOM Oliy muhandislik maktabi tadqiqotchilari Bluetooth ulanishlariga hujum qilishning oltita usulini ishlab chiqdilar, bu ma'lumotlarni ushlab turish va shifrni ochish, o'tmishdagi va kelajakdagi ulanishlarni buzish imkonini beradi. Hujumlar birgalikda BLUFFS deb nomlangan.
BLUFFS hujumlari Bluetooth standartidagi avval noma'lum bo'lgan ikkita zaiflikning topilishi natijasida mumkin bo'ldi, ular almashinuv paytida ma'lumotlar shifrini ochish uchun foydalaniladigan seans kalitlarini sotib olish bilan bog'liq. Ushbu zaifliklar apparat yoki dasturiy ta'minot konfiguratsiyasi bilan bog'liq emas, lekin asosiy darajada Bluetooth standarti arxitekturasiga etadi - ularga raqam beriladi. CVE-2023-24023, va ular Bluetooth spetsifikatsiyasining 4.2 (2014-yil dekabrda chiqarilgan) dan 5.4 (2023-yil fevrali)gacha boʻlgan versiyalariga taʼsir qiladi, garchi ekspluatatsiya biroz boshqacha versiya oraligʻida ishlashi tasdiqlangan. Protokolning keng tarqalishi va uning versiyalari asosidagi hujumlarning keng doirasi tufayli BLUFFS milliardlab qurilmalarda, jumladan smartfon va noutbuklarda ishlashi mumkin.
BLUFFS ekspluatatsiyalar seriyasi Bluetooth aloqa seanslarining himoyasini buzish, o'tmishdagi va kelajakdagi qurilma ulanishlarining maxfiyligini buzishga qaratilgan. Natijaga sessiya kalitini olish jarayonida to'rtta zaiflikdan foydalanish orqali erishiladi - u zaif va oldindan aytib bo'lishga majbur. Bu tajovuzkorga uni "qo'pol kuch" usuli bilan tanlash, oldingi aloqa seanslarini deshifrlash va kelajakdagilarni manipulyatsiya qilish imkonini beradi. Hujum stsenariysi tajovuzkor ikkala qurilmaning Bluetooth diapazonida ekanligini va doimiy diversifikator bilan minimal mumkin bo'lgan kalit entropiya qiymatini taklif qilish orqali seans kaliti bo'yicha muzokaralar paytida tomonlardan birining o'zini namoyon qiladi deb taxmin qiladi.
BLUFFS seriyali hujumlar taqlid qilish stsenariylarini va MitM (o'rtadagi odam) hujumlarini o'z ichiga oladi - ular qurbonlar xavfsiz ulanishni saqlab qolishlaridan qat'iy nazar ishlaydi. EURECOM tadqiqotchilari GitHub’da ekspluatatsiyalar funksionalligini namoyish qiluvchi vositalar to‘plamini nashr etishdi. Ilova qilingan maqolada (PDF) turli xil qurilmalarda, jumladan 4.1 dan 5.2 gacha boʻlgan smartfonlar, noutbuklar va Bluetooth garnituralaridagi BLUFFS sinovlari natijalari keltirilgan, ularning barchasi oltita ekspluatatsiyadan kamida uchtasiga taʼsir qiladi. Tadqiqotchilar allaqachon chiqarilgan zaif qurilmalar uchun orqaga qarab muvofiqlik tamoyilini saqlab qolgan holda amalga oshirilishi mumkin bo'lgan simsiz protokolni himoya qilish usullarini taklif qilishdi. Aloqa standarti uchun mas'ul bo'lgan Bluetooth SIG tashkiloti ishni o'rganib chiqdi va bayonot e'lon qildi, unda uni amalga oshirish uchun mas'ul ishlab chiqaruvchilarni shifrlashning ishonchliligini oshirish sozlamalaridan foydalangan holda xavfsizlikni oshirishga va "faqat xavfsiz ulanishlar" rejimidan foydalanishga chaqirdi. juftlash paytida.
Shuningdek o'qing: