آسیب پذیری بالقوه جدی بر روی بلوتوث تاثیر می گذارد که می تواند منجر به نشت اطلاعات خصوصی از گوشی های هوشمند اپل، گوگل و کامپیوترها و گوشی های هوشمند مبتنی بر اینتل شود. پچ ها در دسترس هستند، بنابراین کاربران نگران باید به روز رسانی را انجام دهند. میلیون ها دستگاه، اگر نگوییم صدها میلیون یا میلیارد، احتمالا تحت تاثیر قرار می گیرند.

دستگاه های دارای بلوتوث از طیف وسیعی از فروشندگان - از جمله اپل، اینتل، Broadcom و Qualcomm - همه تحت تاثیر قرار گرفته اند. بر این اساس یک اخطار از تیم واکنش اضطراری رایانه ای ایالات متحده، که از موسسه مهندسی نرم افزار کارنگی ملون اجرا می شود، منتشر شده است.گزارش این آسیب پذیری را نتیجه یک بررسی غلط بر کلیدها در طی فرایند رمزگذاری داده ارسال شده از طریق اتصالات بلوتوث، توصیف می کند. به طور خاص، این یک اعتبار از دست رفته موجود در روش رمزگذاری استفاده شده در بلوتوث است، استاندارد شناخته شده به عنوان "تبادل کلید دیفی-هلیمان".

در نهایت، تیم واکنش اضطراری رایانه ای ایالات متحده می گوید این خطا به این معنی است که یک هکر که در محدوده بلوتوث یک دستگاه آسیب دیده است می تواند کلیدی مورد نیاز را برای نشان دادن آنچه که قرار است داده های رمزگذاری شده "با احتمال بالا" با آن رمز شوند را پیدا نماید. هکر می تواند تمام پیام های فرستاده شده از طریق بلوتوث را ردیابی و رمزگشایی کند. Mike Ryan کارشناس بلوتوث هشدار داد این موارد شامل هر اطلاعاتی است که برنامه یا دستگاه از طریق بلوتوث ارسال می کند. این مورد می تواند چیزی به عنوان یک اطلاعیه باشد، هر چند در بدترین حالت می تواند کدهای امنیتی باشد که در احراز هویت دو عاملی استفاده می شود.

بسیاری از فن آوری های تحت تاثیر قرار دارند. همانطور که Lior Neumann ، یکی از دو محقق که اشکال را پیدا کرد، در ایمیلی به Forbes توضیح داد: "تا آنجایی که ما می دانیم هر دستگاه Android – با توجه به پچ منتشر شده در ماه ژوئن - و هر وسیله ای با تراشه بی سیم اینتل، Qualcomm یا Broadcom آسیب پذیر است. "

موارد رفع مشکل کجا است؟

Apple در ماه مه با انتشار iOS 11.4 و نسخه های پشتیبانی شده MacOS در ماه ژوئن، اصلاحات را منتشر کرد. او افزود: "هر دستگاه آیفون با یک تراشه Broadcom یا Qualcomm آسیب پذیر است". وی افزود: این موارد شامل آخرین مدل های iPhone 8 و X نیز می شود.

گوگل هنوز توضیحی ارسال نکرده است، اما با توجه به نظر Neumann ، پروژه متن باز اندروید (AOSP) پچی را منتشر کرده است. دو فروشنده Android، یعنی Huawei و LG، می گویند که این آسیب پذیری را رفع کرده اند. فوربس نمی تواند شواهدی از پچ های دیگر تولیدکنندگان عمده اندروید مانند Samsung و HTC پیدا کند.

Broadcom گفت: "ما اصلاحات مربوطه را در اختیار مشتریان OEM خود قرار داده ایم که ممکن است آنها را در بروزرسانی های نرم افزاری خود برای کاربران منتشر کنند." در همین حال، اینتل گفت: "توسعه و اعتبارسنجی به روزرسانی های نرم افزاری بلوتوث که مربوط به برطرف کردن این مشکل است را انجام داده است و توصیه می کند که مشتریان در اسرع وقت به روز رسانی های موجود را انجام دهند. "

Bluetooth SIG ، یک سازمان که استاندارد بلوتوث را توسعه می دهد، یک به روز رسانی را منتشر کرد که باید به تولیدکنندگان کمک کند تا به یک پچ برسند و تضمین می کند که کلیدهای حیاتی به درستی ساخته شده اند. با وجود این پچ، Bluetooth SIG به دنبال کاهش شدت آسیب پذیری بود و اشاره کرد که مهاجم باید در دو دستگاه آسیب پذیر قرار گیرد - یکی به اندازه کافی برای انتقال داده های بین آنها کافی نیست.

اما Neumann به فوربس گفت که حملات باید "نسبتا ساده انجام شود". او افزود: جزئیات کامل فنی در مورد حملات در روزهای آینده در یک مقاله سفید از موسسه فناوری منتشر خواهد شد.

پروفسور Alan Woodward، یکی از کارشناسان امنیتی دانشگاه Surrey، هشدار داد که ممکن است زمان زیادی برای Broadcom، AOSP یا Bluetooth SIG نیاز باش تا تمامی مدل های اندرویدی موجود در بازار را پچ نمایند.

او افزود:" در مورد اینکه چقدر طول می کشد تا به روز رسانی ها را برای فروشندگان عرضه کنیم. این مورد یک مثال خوب است چرا که به سادگی با رعایت یک مشخصه، همیشه ثابت نمی کند که چیزی امن است."

ویندوز های خراب

در حالی که مایکروسافت در فهرست شرکت های تحت تاثیر قرار نگرفته بود، Neumann گفت ویندوز آسیب پذیرتر به حملات بلوتوث قدیمی است. او خاطرنشان کرد که ویندوز هنوز نسخه بلوتوث 4.2 را پشتیبانی نمی کند و برای حمله ای استراق سمع به بلوتوث 4.0 آسیب پذیر است.

Ryan گفت: Neumann درست می گوید اما Ryan اشاره کرد که هر دو حملات قدیمی و جدید تنها زمانی اتفاق می افتد که دستگاه ها برای اولین بار جفت شوند. "فکر کنید زمانی که یک هدست بلوتوث جدید دریافت می کنید: شما آن را جفت می کنید و سپس تلفن شما هدست را برای همیشه به یاد می آورد. اگر مهاجم در هنگام اول جفت شدن وجود نداشته باشد، نمی تواند اطلاعات را رمزگشایی کند.

" منبع: www.forbes.com