Bluetooth exploits ne sont pas quelque chose de nouveau à l'horizon de piratage, mais ils peuvent causer des risques pour la sécurité des dispositifs vulnérables. Une nouvelle vulnérabilité, identifié comme CVE-2018-5383, correspond à la description d'une grande menace car il est une faille cryptographique très critique. La défaut, découvert par des chercheurs de l'Institut de technologie d'Israël, est liée à la Secure Simple Pairing et LE fonctionnalités Secure Connexions, les chercheurs en sécurité ont rapporté.
Détails sur CVE-2018-5383 vulnérabilité Bluetooth
La vulnérabilité pourrait permettre à un non authentifié, attaquant distant à proximité physique des cibles à intercepter, surveiller ou de manipuler leur trafic. CVE-2018-5383 affecte le firmware des principaux fournisseurs comme Apple, Broadcom, Intel et Qualcomm.
Les chercheurs ont identifié que la technologie Bluetooth recommande, mais ne nécessite pas, qu 'un dispositif de support du couplage simple sécurisé ou LE dispositifs sécurisés Connections valider la clé publique reçue sur l'air lors du couplage avec un nouveau dispositif. Il est possible que certains fournisseurs peuvent avoir développé des produits Bluetooth qui prennent en charge ces fonctionnalités, mais ne fonctionnent pas la validation clé publique au cours de la procédure d'appariement.
Dans le cas où un fournisseur prend en charge ces fonctionnalités, les connexions entre ces dispositifs pourraient être vulnérables à une attaque man-in-the-middle qui permettrait la surveillance ou la manipulation du trafic, les chercheurs ont ajouté. Un exploit réussi exige que le dispositif d'attaque pour être à portée sans fil de deux appareils Bluetooth vulnérables passe par un processus d'appariement.
En outre, "le dispositif d'attaque aurait besoin d'intercepter l'échange de clé publique en bloquant chaque transmission, l'envoi d'un accusé de réception au dispositif d'envoi, puis injecter le paquet illicite vers le dispositif de réception à l'intérieur d'une fenêtre temporelle étroite". Une attaque est pas possible dans le cas où un seul dispositif est sujette à CVE-2018-5383.
Y at-il d'atténuation?
Selon le Bluetooth Special Interest Group (EUX) qui maintient et améliore la technologie, il y a. Le groupe a mis à jour la spécification Bluetooth pour exiger des produits pour valider une clé publique reçue dans le cadre des procédures de sécurité reposant sur une clé publique.
En outre:
Il n'y a aucune preuve que la vulnérabilité a été exploitée malicieusement et le Bluetooth SIG ne sont pas au courant des dispositifs mettant en oeuvre l'attaque ayant été mis au point, y compris par les chercheurs qui ont identifié la vulnérabilité. Le Bluetooth SIG communique aussi largement de détails sur cette vulnérabilité et son recours à nos sociétés membres, et les encourage à intégrer rapidement les patchs nécessaires.
Bluetooth utilisateurs doivent installer les dernières mises à jour recommandées publiées par les fabricants d'appareils et de systèmes d'exploitation.
Cela étant dit, Apple et Intel ont déjà publié des correctifs d'adressage CVE-2018-5383. Apple a corrigé la vulnérabilité avec la sortie de macOS High Sierra 10.13.5, iOS 11.4, watchos 4.3.1, et tvOS 11.4.
Quant à Intel, la société a publié les mises à jour logicielles et firmware, et aussi les utilisateurs alarmés que le bug affecte Dual Band Wireless-AC de l'entreprise, Tri-bande sans fil AC, et les familles de produits sans fil AC. Broadcom produits qui prennent en charge Bluetooth 2.1 ou plus récent peuvent également être touchés par la faille. Cependant, l'entreprise affirme qu'elle a déjà préparé des correctifs pour ses clients OEM, qui ont besoin maintenant de les livrer aux utilisateurs finaux.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: