Accueil > Nouvelles Cyber > Les vulnérabilités Bluetooth BIAS affectent le projet Open Source Android, Cisco
CYBER NOUVELLES

Les vulnérabilités Bluetooth BIAS affectent le projet Open Source Android, Cisco

biais-attaques-appareils-bluetooth-sensorstechforum
Une équipe de chercheurs en sécurité a identifié un nouveau type d'attaque mettant en danger les appareils Bluetooth. Les vulnérabilités se trouvent dans les spécifications Bluetooth Core et Mesh Profile, et pourrait aider les attaquants à dissimuler leurs efforts en tant que dispositifs légitimes pour effectuer des attaques d'intermédiaire.

BIAIS, ou Attaques d'usurpation d'identité Bluetooth

Appelé BIAS, ou Attaques d'usurpation d'identité Bluetooth, les vulnérabilités ont été découvertes par Daniele Antonioli School of Computer and Communication Sciences EPFL, Nils Ole Tipphauer CISPA Helmholtz Center for Information Security, et Kasper Rasmussen Département d'informatique de l'Université d'Oxford.

«Nos attaques visent la procédure d'authentification Bluetooth standardisée, et sont donc efficaces contre tout appareil Bluetooth conforme à la norme. Nous appelons nos attaques des attaques par usurpation d'identité Bluetooth (BIAIS),»Ont déclaré les chercheurs dans leur rapport.




«Notre implémentation de preuve de concept s'appuie sur un kit de développement Bluetooth pour envoyer les messages requis, Cependant, tout appareil disposant d'un accès complet au micrologiciel Bluetooth et à un émetteur-récepteur de bande de base Bluetooth peut effectuer les attaques BIAS,»Le rapport a clarifié.

Comment l'équipe de recherche a-t-elle créé sa preuve de concept?
Confirmer que les faiblesses du BIAS sont une réelle menace, les chercheurs les ont déployés contre 31 Appareils Bluetooth (28 puces Bluetooth uniques) des principaux fournisseurs de matériel et de logiciels, implémentation de toutes les principales versions Bluetooth, y compris Apple, Qualcomm, Intel, Cyprès, Broadcom, Samsung, et RSE.

Il convient également de noter que quatre vulnérabilités distinctes ont été découvertes dans les versions de spécification de profil de maillage Bluetooth. 1.0 et 1.0.1. Le total des vulnérabilités est de six: CVE-2020-26555, CVE-2020-26558, CVE-2020-26556, CVE-2020-26557, CVE-2020-26559, et CVE-2020-26560.

“Nos attaques fonctionnent même lorsque les victimes utilisent les modes de sécurité les plus puissants de Bluetooth, par exemple, SSP et connexions sécurisées. Nos attaques visent la procédure d'authentification Bluetooth standardisée, et sont donc efficaces contre tout appareil Bluetooth conforme à la norme,” le rapport ajouté.

Fournisseurs affectés par les vulnérabilités BIAS

Le projet Open Source Android, Cisco, Technologie Microchip, et Red Hat font partie des fournisseurs concernés par ces nouvelles faiblesses Bluetooth. Aurait, PSBA, Cisco, et Microchip Technology travaillent déjà sur des solutions pour atténuer les risques.

En outre, le groupe d'intérêt spécial Bluetooth (EUX), responsable du développement des normes Bluetooth, a également publié des avis de sécurité. Il est conseillé aux utilisateurs d'installer les dernières mises à jour disponibles auprès des fournisseurs d'appareils et de systèmes d'exploitation..

Faiblesses précédentes du BIAS

L'année dernière, les chercheurs ont rapporté le Vulnérabilité CVE-2020-10135, également une version de l'attaque BIAS, affectant la version classique du protocole Bluetooth. La vulnérabilité pourrait permettre aux attaquants d'exploiter un périphérique distant précédemment lié pour terminer la procédure d'authentification avec certains périphériques couplés / liés sans posséder la clé de lien. La vulnérabilité était liée à la négociation clé de Bluetooth (BOUTON) punaise, découvert dans 2019.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...