Tehnografi.com - Технологические новости, обзоры и советы

Могут ли ваши устройства Bluetooth быть взломаны в 2019 году?

fizkes / Shutterstock

Bluetooth есть везде, как и его недостатки безопасности. Но насколько велик риск? Насколько вы должны быть обеспокоены блюджекингом, блюзнарфингом или блюгбингом? Вот что вам нужно знать, чтобы защитить свои устройства.

Bluetooth уязвимостей предостаточно

На первый взгляд может показаться, что использовать Bluetooth довольно рискованно. На недавней конференции DEF CON 27 по безопасности, участникам посоветовали отключить Bluetooth на своих устройствах, пока они были там. Конечно, имеет смысл, что вы захотите быть более осторожными с безопасностью вашего устройства, если вас окружают тысячи хакеров в довольно небольшом помещении.

Даже если вы не посещаете конференцию хакеров, есть веские причины для беспокойства – просто прочитайте новости. уязвимость в спецификации Bluetooth был недавно раскрыт. Он позволяет хакерам получить доступ к вашему устройству Bluetooth с помощью технологии, называемой согласованием ключа Bluetooth (KNOB). Для этого соседний хакер заставляет ваше устройство использовать более слабое шифрование при подключении, что облегчает его взлом.

Звучит сложно? Это вроде как. Чтобы эксплойт KNOB работал, хакер должен быть физически рядом с вами, когда вы подключаете два устройства Bluetooth. И у него есть только короткое время, чтобы перехватить рукопожатие и применить другой метод шифрования. Затем хакеру приходится взломать пароль, но это, вероятно, довольно просто, потому что новый ключ шифрования может быть длиной до одного бита.

Рассмотрим также исследователи из Бостонского университета обнаружили уязвимость, Подключенные устройства Bluetooth, такие как наушники и колонки, транслируют свою личность удивительным образом. Если вы используете такое устройство, вы можете отслеживать, пока оно включено.

Человек работает с Bluetooth наушники.Jabra

Обе эти уязвимости появились в прошлом месяце, и вам нужно всего лишь прокрутить год назад, чтобы найти другой, Короче говоря, если хакер находится рядом и отправляет неверный открытый ключ на ваше устройство Bluetooth, весьма вероятно, что она сможет определить ваш текущий ключ сеанса. После этого хакер может легко перехватить и расшифровать все данные, которые передаются между устройствами Bluetooth. Хуже того, она также может вводить вредоносные сообщения на устройстве.

И мы могли бы продолжить. Существует достаточно доказательств того, что Bluetooth примерно так же безопасен, как замок, изготовленный из макарон фузилли.

Обычно это ошибка производителя

Говоря о замках fusilli, виноваты не эксплойты в спецификации Bluetooth. Производители устройств Bluetooth несут значительную ответственность за усугубление уязвимостей Bluetooth. Сэм Куинн, исследователь безопасности из McAfee Advanced Threat Research, рассказал How-to Geek об уязвимости, которую он обнаружил для смарт-замка Bluetooth:

«Они реализовали это без необходимости сопряжения. Мы обнаружили, что если вы отправите ему определенное значение, оно просто откроется без имени пользователя или пароля, используя режим Bluetooth с низким энергопотреблением, который называется «Просто работает».

С Just Works любое устройство может мгновенно подключаться, давать команды и считывать данные без какой-либо другой аутентификации. Хотя это удобно в определенных ситуациях, это не лучший способ конструировать замок.

«Множество уязвимостей вступает в игру от производителя, который не понимает лучшего способа обеспечения безопасности для своего устройства», – сказал Куинн.

Тайлер Моффит, старший аналитик по исследованиям угроз в Webroot, согласился, что это проблема:

«С помощью Bluetooth создается так много устройств, и нет никаких правил или рекомендаций относительно того, как поставщики должны внедрять меры безопасности. Есть много производителей, которые делают наушники, умные часы, всевозможные устройства, и мы не знаем, какую встроенную защиту они имеют ».

Моффитт описывает интеллектуальную игрушку, связанную с облаком, которую он однажды оценил, которая может воспроизводить аудиосообщения, хранящиеся в облаке. «Он был разработан для людей, которые много путешествуют, и семей военнослужащих, чтобы они могли загружать сообщения для детей, чтобы они услышали воспроизведение на игрушке».

К сожалению, вы также можете подключиться к игрушке через Bluetooth. Он не использовал никакой аутентификации, поэтому злоумышленник мог стоять снаружи и записывать на него что угодно.

Moffit рассматривает рынок чувствительных к цене устройств как проблему. Многие поставщики срезают безопасность, потому что покупатели не видят и не придают ей большого значения.

«Если я могу получить то же самое, что и это Apple Watch менее чем за половину цены, я собираюсь попробовать это », сказал Моффит. «Но эти устройства часто являются просто минимально жизнеспособными продуктами, созданными для максимальной прибыльности. Часто при разработке этих продуктов проверяется нулевая безопасность ».

Избегайте привлекательных неприятностей

Привлекательная доктрина неприятности является аспектом деликтного права. В соответствии с этим, если что-то наподобие пули или щелкающего дерева, на котором растут конфеты (применимо только в магических сферах), заманивает ребенка на вашу собственность, и он ранен, вы несете ответственность. Некоторые функции Bluetooth похожи на привлекательную неприятность, которая подвергает риску ваше устройство и данные, и взлом не требуется.

Например, многие телефоны имеют функцию умной блокировки. Он позволяет оставить телефон разблокированным, если он подключен к определенному доверенному устройству Bluetooth. Таким образом, если вы носите наушники Bluetooth, ваш телефон остается разблокированным, пока вы их включили. Хотя это удобно, это делает вас уязвимым для взлома.

«Эту функцию я искренне рекомендую никому не использовать», – сказал Моффит. «Просто созрел для злоупотреблений».

Есть бесчисленное множество ситуаций, в которых вы можете отойти достаточно далеко от своего телефона, что вы не контролируете его, и все же он все еще находится в зоне действия Bluetooth. По сути, вы оставили свой телефон разблокированным в общественном месте.

Windows 10 имеет разновидность умной блокировки, называемой динамической блокировкой. Он блокирует ваш компьютер, когда ваш телефон выходит за пределы диапазона Bluetooth. Как правило, этого не произойдет, пока вы не в 30 футах. И даже тогда Dynamic Lock иногда вялый.

Windows  Экран динамической блокировки 10-х годов.

Существуют и другие устройства, предназначенные для автоматической блокировки или разблокировки. Это круто и футуристично, когда умный замок открывает вашу входную дверь, как только вы наступаете на крыльцо, но также делает его взломанным. И если кто-то заберет ваш телефон, он может теперь прийти в ваш дом, не зная код вашего телефона.

Мужская рука держит iPhone, показывая приложение August Smart Lock и открывая дверь с замком August Smart.августейший

«Bluetooth 5 выходит, и его теоретический диапазон составляет 800 футов», – говорит Моффитт. «Это усилит проблемы такого рода».

СВЯЗАННЫЕ С: Bluetooth 5.0: что отличается и почему это важно

Принять разумные меры предосторожности

Очевидно, что с Bluetooth существуют реальные риски. Но это не означает, что вы должны выбросить свои AirPods или продать свои портативные колонки – риск на самом деле низок. В целом, чтобы хакер добился успеха, он должен находиться в пределах 300 футов от вас для устройства Bluetooth класса 1 или 30 футов для класса 2.

Он также должен быть изощренным с конкретной целью для вашего устройства. Блэкджек устройства (контроль над отправкой сообщений на другие близлежащие устройства Bluetooth), Bluesnarfing (доступ или кража данных на устройстве Bluetooth) и Bluebugging (полный контроль над устройством Bluetooth) требуют различных эксплойтов и навыков.

Есть гораздо более простые способы сделать то же самое. Чтобы ворваться в чей-то дом, вы можете попытаться заколоть замок передней двери или просто бросить камень в окно.

«Исследователь из нашей команды говорит, что лом – лучший хакерский инструмент», – сказал Куинн.

Но это не значит, что вы не должны принимать разумные меры предосторожности. Прежде всего, отключите функции смарт-блокировки на вашем телефоне и ПК. Не связывайте безопасность какого-либо устройства с присутствием другого через Bluetooth.

И используйте только устройства с аутентификацией для сопряжения. Если вы приобрели устройство, для которого не требуется пароль (или пароль 0000), верните его для более безопасного продукта.

Это не всегда возможно, но обновите прошивку на своих устройствах Bluetooth, если она доступна. Если нет, возможно, пришло время заменить это устройство.

«Это похоже на вашу операционную систему», – сказал Моффит. "Ты используешь Windows XP или Windows 7, вероятность заражения более чем в два раза выше. То же самое и со старыми устройствами Bluetooth ».

Опять же, однако, если вы примете надлежащие меры предосторожности, вы можете значительно ограничить риск взлома.

«Мне нравится думать, что эти устройства не обязательно небезопасны», – сказал Куинн. «За последние 20 лет у нас был Bluetooth, никто не обнаружил эту уязвимость KNOB до сих пор, и в реальном мире нет известных взломов Bluetooth».

Но он добавил: «Если устройству не требуется открытое общение, возможно, вы можете отключить Bluetooth на этом устройстве. Это просто добавляет еще один вектор атаки, который могут использовать хакеры ».