zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
Приложения для смартфонов, функцией которых является управление Bluetooth-устройствами имеют в себе уязвимость, подвергающую их угрозе к хакерским атакам. Эксперт из Университета штата Огайо Чжицян Линь рассказал, что ошибка кроется в том, как устройства, построенные на технологии Bluetooth Low Energy, обмениваются информацией с управляющими ими программами.
Эксперт пояснил, что имеется фундаментальная ошибка, делающая устройства уязвимыми, которая проявляет себя на двух этапах. Вначале при первом подключении к приложению на смартфоне, а второй этап происходит в процессе работы. Уровень угрозы от уязвимости варьируется, однако на данный момент очевидно, что данная уязвимость является типичной проблемой при взаимодействии устройств Bluetooth Low Energy с приложениями на смартфонах.
Устройства на основе Bluetooth Low Energy (беспроводная технология Bluetooth с низким энергопотреблением), например фитнес-трекеры, смарт-термостаты, смарт-колонки, «умные» домашние ассистенты и так далее, во время первого подключения к управляющему смартфону отсылают приложениям на смартфоне уникальный идентификатор UUID. Он даёт возможность приложению опознавать устройство и обеспечивать канал связи для обмена информацией.
Но при этом UUID встроен и в код самого приложения (иначе оно не могло бы опознавать устройство). Это подвергает устройство риску атак. Самый очевидный сценарий атаки в данном случае – когда атакующий использует UUID для того, чтобы понять, есть ли дома у жертвы определенное Bluetooth-устройство. Если передача данных между устройством и приложением не зашифровывается или зашифровывается недостаточно качественно, злоумышленник может перехватить информацию.
Эксперт пояснил, что имеется фундаментальная ошибка, делающая устройства уязвимыми, которая проявляет себя на двух этапах. Вначале при первом подключении к приложению на смартфоне, а второй этап происходит в процессе работы. Уровень угрозы от уязвимости варьируется, однако на данный момент очевидно, что данная уязвимость является типичной проблемой при взаимодействии устройств Bluetooth Low Energy с приложениями на смартфонах.
Устройства на основе Bluetooth Low Energy (беспроводная технология Bluetooth с низким энергопотреблением), например фитнес-трекеры, смарт-термостаты, смарт-колонки, «умные» домашние ассистенты и так далее, во время первого подключения к управляющему смартфону отсылают приложениям на смартфоне уникальный идентификатор UUID. Он даёт возможность приложению опознавать устройство и обеспечивать канал связи для обмена информацией.
Но при этом UUID встроен и в код самого приложения (иначе оно не могло бы опознавать устройство). Это подвергает устройство риску атак. Самый очевидный сценарий атаки в данном случае – когда атакующий использует UUID для того, чтобы понять, есть ли дома у жертвы определенное Bluetooth-устройство. Если передача данных между устройством и приложением не зашифровывается или зашифровывается недостаточно качественно, злоумышленник может перехватить информацию.
