Blurtooth एक बीटी भेद्यता जो हैकर्स को पास के उपकरणों से कनेक्ट करने की अनुमति देता है

फुठरमलसा-हमला

में हाल ही में खुलासा भेद्यता वायरलेस मानक ब्लूटूथ हैकर्स को उपकरणों से कनेक्ट करने की अनुमति दे सकता है एक निश्चित क्षेत्र में दूरस्थ रूप से और उपयोगकर्ता अनुप्रयोगों तक पहुंचें।

भेद्यता, कहा जाता है Blurtooth, कुछ दिनों पहले उद्योग निकाय ब्लूटूथ SIG द्वारा विस्तृत किया गया था मानक के विकास की देखरेख कौन करता है। और यह है कि ब्लूटूथ दुनिया भर में अरबों उपकरणों में पाया जाता है, स्मार्टफोन से IoT उपकरणों "इंटरनेट ऑफ थिंग्स" तक।

Blurtooth की भेद्यता इसकी खोज EPFL discoveredcole Polytechnique Fédérale de Lausanne और Purdue University of Switzerland के शोधकर्ताओं ने की।

उपभोक्ता तकनीक की दुनिया में, आमतौर पर फोन के साथ वायरलेस हेडसेट बाँधने जैसे कार्यों के लिए कम दूरी के कनेक्शन को बिजली देने के लिए उपयोग किया जाता है।

लेकिन ब्लूटूथ कई सौ फीट की दूरी पर लंबी दूरी के डेटा ट्रांसफर का भी समर्थन करता है, एक रेंज जो हैकर्स हमलों को लॉन्च करने के लिए ब्लरूटोथ का उपयोग करके शोषण कर सकता है।

जिस तरह से ब्लूटूथ कनेक्शन की सुरक्षा की पुष्टि करता है, उसमें भेद्यता एक कमजोरी का फायदा उठाती है।

आमतौर पर, एक उपयोगकर्ता को अपने डिवाइस को किसी अन्य सिस्टम से लिंक करने से पहले मैन्युअल रूप से एक कनेक्शन अनुरोध को मंजूरी देनी चाहिए, लेकिन ब्लरूटोथ इस रक्षा को दरकिनार करने की अनुमति देता है।

एक हैकर या किसी के पास पर्याप्त ज्ञान के साथ भेद्यता का फायदा उठाने के लिए  एक ब्लूटूथ डिवाइस लगाने के लिए एक दुर्भावनापूर्ण सिस्टम को कॉन्फ़िगर कर सकता है कि उपयोगकर्ता पहले से ही था अनुमोदितजैसे उनके वायरलेस हेडसेट और उपयोगकर्ता की मशीन पर ब्लूटूथ-सक्षम अनुप्रयोगों तक पहुंच।

Blurtooth के हमले पर आधारित हैं एक अंतर्निहित ब्लूटूथ सुरक्षा सुविधा के रूप में जाना जाता है सीटीकेडी। आम तौर पर, इस समारोह इसका उपयोग एन्क्रिप्ट कनेक्शन को मदद करने के लिए किया जाता है। लेकिन यह एक हैकर द्वारा शोषण किया जा सकता है ताकि पहले से अनुमोदित डिवाइस के लिए प्रमाणीकरण कुंजी प्राप्त हो, जो कि वैध एंडपॉइंट्स को बिगाड़ना संभव बनाता है और जिससे उपयोगकर्ता को आने वाले कनेक्शन को मंजूरी देने की आवश्यकता को दरकिनार किया जा सकता है।

ब्लूटूथ की सीमित वायरलेस रेंज भेद्यता द्वारा उत्पन्न खतरे को कम करती है। दो प्रभावित प्रौद्योगिकी संस्करण, कम ऊर्जा और मूल दर, केवल लगभग 300 फीट की दूरी पर कनेक्शन का समर्थन करते हैं। लेकिन उपभोक्ता उपकरणों पर उन दो ब्लूटूथ संस्करणों के लिए व्यापक समर्थन का मतलब है कि बड़ी संख्या में टर्मिनल संभावित रूप से असुरक्षित हो सकते हैं।

के लिए उद्योग निकाय ब्लूटूथ एसआईजी ने कहा कि संस्करणों का उपयोग करने वाले कुछ उपकरण ब्लूटूथ 4.0 से 5.0 प्रभावित होते हैं। नवीनतम संस्करण 5.2, जिसे अभी तक व्यापक रूप से अपनाया नहीं गया है, जाहिरा तौर पर असुरक्षित नहीं है, जबकि संस्करण 5.1 में कुछ अंतर्निहित विशेषताएं हैं जो डिवाइस निर्माता ब्लरूटोथ हमलों को ब्लॉक करने में सक्षम हो सकते हैं।

सुरक्षा संकेत पर, ब्लूटूथ एस.आई.जी. इसने कहा कि यह उद्योग की प्रतिक्रिया को तेज करने के लिए उपकरण निर्माताओं के साथ भेद्यता का "व्यापक रूप से संवाद" कर रहा है। समूह "उन्हें आवश्यक पैच को जल्दी से एकीकृत करने के लिए प्रोत्साहित करता है।" यह अभी तक स्पष्ट नहीं है कि पैच कब उपलब्ध होंगे या किन उपकरणों की उन्हें आवश्यकता होगी।

ब्लूटूथ SIG ने शुक्रवार को निम्नलिखित बयान जारी किया:

हम ब्‍लुरोटोथ भेद्यता पर कुछ स्‍पष्‍टीकरण देना चाहते हैं। ब्लूटूथ एसआईजी के प्रारंभिक सार्वजनिक बयान ने संकेत दिया कि भेद्यता मुख्य ब्लूटूथ विनिर्देश के 4.0 से 5.0 संस्करण का उपयोग करने वाले उपकरणों को प्रभावित कर सकती है।

हालाँकि, अब केवल 4.2 और 5.0 के संस्करणों को इंगित करने के लिए तय किया गया है। इसके अलावा, BLURtooth भेद्यता इन संस्करणों का उपयोग करने वाले सभी उपकरणों को प्रभावित नहीं करती है।

हमला करने के लिए संभावित रूप से खुला होने के लिए, एक उपकरण को बीआर / ईडीआर और एलई दोनों का एक साथ समर्थन करना चाहिए, क्रॉस-ट्रांसपोर्ट कुंजी व्युत्पत्ति का समर्थन करना चाहिए, और एक विशिष्ट तरीके से पीयरिंग और व्युत्पन्न कुंजी का लाभ उठाना चाहिए। इस समस्या का समाधान ब्लूटूथ बेसिक स्पेसिफिकेशन 5.1 और बाद में वर्णित किया गया है, और ब्लूटूथ एसआईजी ने कमजोर उत्पादों वाले सदस्यों को इस बदलाव को पुराने डिजाइनों में शामिल करने की सिफारिश की है, जब संभव हो।

अंत में यह उल्लेख किया गया है कि उपयोगकर्ता इस बात पर नज़र रख सकते हैं कि उनके डिवाइस ने फर्मवेयर की जांच करके और उसके लिए ऑपरेटिंग सिस्टम रिलीज द्वारा BLURtooth हमलों के लिए एक पैच प्राप्त किया है या नहीं  CVE-2020-15802।


पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।