BlueBorne, czyli poważny błąd w urządzeniach mających Bluetooth

bluetooth

(Mikhail Morfikov) #1

Tak sobie czytałem poranną prasę i na Niebezpieczniku dostrzegłem taki oto wpis: https://niebezpiecznik.pl/post/wylacz-bluetooth-natychmiast/. Jak widać już po samym tytule, sprawa nie zapowiada się wesoło. Generalnie chodzi to, że firma Armis doszukała się dość ciekawej podatności w urządzeniach wyposażonych w Bluetooth:

W zasadzie problem dotyczy większości nowszych urządzeń (jakieś 5,5 mld sztuk), wliczając w to komputery/laptopy, TV i inne urządzenia RTV/AGD, no i oczywiście smartfony. I nad tymi ostatnimi chciałem się trochę zatrzymać.

Mam w zasadzie pod ręką trzy smartfony Neffos: Y5L, C5 i X1. Każdy z tych smartfonów ma zainstalowanego innego Androida, odpowiednia jest to, 6.0, 5.1 i 7.0. Postanowiłem zatem sprawdzić czy któryś z tych Neffos'ów jest podatny przy pomocy tej poniższej aplikacji:

Wyniki nie zaskoczyły mnie:

Nie mam za bardzo możliwości sprawdzenia pozostałych Neffos'ów ale można domniemywać, że problem dotyczy wszystkich telefonów wypuszczonych przez TP-Link.

Z tego co czytałem na fanpage Neffos, to TP-Link już nie będzie wypuszczał jakichkolwiek łatek w stosunku do Neffos'ów z serii C, czyli krótko mówiąc, jeśli mamy model C5L, C5 lub C5 Max, to będziemy mieć podatny bluetooth i lepiej go nie włączać, bo łatwo możemy paść ofiarą ataku. Poniżej przykład, jak tego typu atak przebiega na smartfonach:

Co do pozostałych Neffos'ów, to być może zostaną one załatane ale kiedy? Trudno powiedzieć.


KRACK, czyli podatność w 4-way handshake w WPA2
Trochę informacji na temat Neffos X1 Max
(Jakub Danecki) #2

Dziura jest wielka, ale przejęcie kontroli nad urządzeniem nie jest aż tak proste

  • trzeba być blisko
  • trzeba znać urządzenie docelowe (wszystko zależy od tego, co jest za bluetooth) i mieć na nie hack gotowy - tutaj było np. pokazane użycie nagranego wcześniej ruchu myszą
    Mimo to posiadanie włączonego BT gdy nie korzystamy z tego - jest niezdrowe.

(Mikhail Morfikov) #3

Ja generalnie staram się unikać Bluetooth, gdy tylko mogę ale też nie zawsze jest to możliwe, patrz choćby słuchawki. :slight_smile: