Статьи

Уязвимости BlueBorne влияют на более 5 миллиардов устройств с поддержкой Bluetooth

  1. BlueBorne влияет на все устройства с поддержкой Bluetooth
  2. Наиболее серьезные уязвимости Bluetooth, выявленные на сегодняшний день
  3. Не все устройства будут получать патчи
  4. На кого это влияет
  5. Что должны делать потребители:

Исследователи в области безопасности обнаружили восемь уязвимостей - под общим названием BlueBorne - в реализациях Bluetooth, используемых более чем 5,3 миллиардами устройств

Исследователи в области безопасности обнаружили восемь уязвимостей - под общим названием BlueBorne - в реализациях Bluetooth, используемых более чем 5,3 миллиардами устройств.

Исследователи говорят, что уязвимости невозможно обнаружить и не остановить с помощью традиционных решений безопасности. Взаимодействию с пользователем не требуется, чтобы злоумышленник использовал недостатки BleuBorne, и при этом злоумышленнику не нужно связываться с целевым устройством.

BlueBorne влияет на все устройства с поддержкой Bluetooth

Они влияют на реализации Bluetooth в Android, iOS, Microsoft и Linux, затрагивая практически все типы устройств Bluetooth, от смартфонов до ноутбуков и от устройств IoT до умных автомобилей.

Три из этих восьми недостатков безопасности оценены как критические, и, по словам исследователей из Armis - компании по безопасности IoT, открывшей BlueBorne, - они позволяют злоумышленникам захватывать устройства и выполнять вредоносный код, а также выполнять атаки «человек посередине» и перехватывать Bluetooth коммуникации.

Кроме того, уязвимости могут быть скомпонованы в самораспространяющегося червя BlueTooth, который может нанести ущерб внутри сети компании или даже по всему миру.

Наиболее серьезные уязвимости Bluetooth, выявленные на сегодняшний день

«Эти уязвимости являются наиболее серьезными из обнаруженных на сегодняшний день уязвимостей Bluetooth», - сообщил Bleeping Computer представитель Armis по электронной почте.

«Ранее обнаруженные недостатки Bluetooth были в основном на уровне протокола», - добавил он. «Эти новые уязвимости находятся на уровне реализации, минуя различные механизмы аутентификации и позволяя полностью захватить целевое устройство».

Армис предупреждает о нападениях, которые объединяют физическое присутствие с недостатками BlueBorne. Например, специалист по доставке, уронивший посылку в банке, может нести вооруженный код на устройстве с поддержкой Bluetooth. Как только он входит в банк, его устройство заражает других и предоставляет злоумышленникам точку опоры в ранее защищенной сети.

Не все устройства будут получать патчи

Armis сообщил об уязвимостях крупным поставщикам оборудования и программного обеспечения, таким как Apple, Google, Microsoft и сообщество Linux. Некоторые патчи разрабатываются и будут выпущены сегодня и в ближайшие дни и недели.

Тем не менее, некоторые устройства никогда не получат патч BlueBorne, так как устройства достигли конца срока службы и не поддерживаются. Armis оценивает это число примерно в 40% всех устройств с поддержкой Bluetooth, что составляет более двух миллиардов устройств.

Уязвимости BlueBorne отслеживаются под следующими идентификаторами: CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 и CVE-2017-0785 для устройств Android; CVE-2017-1000251 и CVE-2017-1000250 для Linux; CVE-2017-14315 для iOS и CVE-2017-8628 для Windows.

На кого это влияет

Все Android-телефоны, планшеты и носимые устройства всех версий подвержены четырем вышеуказанным уязвимостям. На устройства Android, использующие только Bluetooth Low Energy, это не влияет. Google исправила недостатки в своем сентябрьском бюллетене по безопасности Android.

Версии Windows, начиная с Windows Vista, затрагиваются. Microsoft заявила, что на телефоны Windows не влияет BlueBorne. В июле Microsoft тайно выпустила исправления для CVE-2017-8628, но только сегодня включила сведения об исправленной уязвимости в сентябрьский патч вторника.

Все устройства Linux, на которых работает BlueZ, подвержены утечке информации, в то время как все устройства Linux версии 3.3-rc1 (выпущенной в октябре 2011 года) подвержены уязвимости удаленного выполнения кода, которую можно использовать через Bluetooth. Это касается и операционной системы Samsung Tizen, основанной на Linux.

Это касается всех устройств iPhone, iPad и iPod touch с iOS 9.3.5 и ниже, а также устройств AppleTV с версией 7.2.2 и ниже, но проблема была исправлена ​​в iOS 10.

Что должны делать потребители:

Отключите Bluetooth, если вам не нужно его использовать, но затем немедленно выключите его. Когда на вашем устройстве будет выпущено и установлено исправление или обновление, вы сможете снова включить Bluetooth и безопасно оставить его включенным.
Пользователи устройств Android могут определить, являются ли их устройства уязвимыми, загрузив Android-приложение BlueBorne в Google Play Store и используйте его для простой и быстрой проверки.

Технический отчет о недостатках BlueBorne доступен Вот , Ниже приведено видео, описывающее атаку BlueBorne, и демонстрации атак BlueBorne на устройства Android, Windows и Linux.

Если бы недостатки BlueBorne были использованы в качестве червя Bluetooth, это был бы не первый. Bluetooth-черви существовали в прошлом и вызывали много проблем, особенно для мобильных операторов. Одним из таких примеров является Cabir ,

Статья обновлена, чтобы уточнить, что Microsoft молча исправила ошибку BlueBorne в июле.

Похожие

Что такое Bootstrap?
... начальная загрузка является интерфейсной средой для HTML, CSS и JavaScript, которая известна для разработки мобильных и адаптивных веб-сайтов. Имея базовые знания HTML и CSS, вы можете создавать формы Bootstrap, таблицы, кнопки, типографику, навигацию, модалы, карусели изображений и дополнительные плагины JavaScript с помощью готовых шаблонов, предоставляемых Bootstrap. Зачем мне использовать Bootstrap? Мы рады, что вы спросили. Bootstrap обладает
Списки
... сок - это последовательность Как и строка, список представляет собой последовательность значений. В строке значения являются символами; в списке они могут быть любого типа. Значения в списке называются элементами или иногда элементами . Есть несколько способов создать новый список; самое простое - заключить элементы в квадратные скобки ([и]): [10, 20, 30, 40] ['crunchy frog', 'ram bladder', 'lark vomit']. Первый пример - список
Пользователи Zbiornik.com шантажируются. Кто-то раскроет свои данные?
... все еще существует. Киберпреступник отправил обратно биткойн-адрес, на который должны были быть внесены средства, и отказался предоставить вышеуказанную информацию. Это заверило администраторов, что их действия были успешными. Администраторы
2G / 3G / 4G - это все о скорости
Внутри первая часть Из нашей трилогии о GSM мы сказали несколько слов об истории и новейших поколениях (3G, 4G) технологий мобильной связи. В этом посте будет подробно рассказано о каждом поколении и различиях между ними. Как вы, наверное, знаете, буква G после числа означает генерацию, и самое короткое объяснение разницы между ними состоит в том, что более новые поколения имеют более быструю
Создание ссылок - как этого не сделать?
Сбор ссылок или построение ссылок - одна из самых популярных форм позиционирования сайта . Мы уже несколько раз упоминали о нем в блоге, а также мы описали позиционирование в нашем курсе , Казалось бы, вопрос получения ссылок на других сайтах очень прост. Однако, как выясняется, многие люди, особенно те, кто пытается самостоятельно выполнить такую ​​задачу, допускают основные ошибки,
Мы знаем польские цены на ноутбуки Surface. Это не дешево, но это хорошо
... на свой последний компьютер - Surface Laptop. Это не дешево, но это хорошо. Представлено на конференции #MicrosoftEDU Поверхность ноутбука в США она начинается с 999 долл. С самого начала было известно, что в Польше после добавления НДС и других сборов эта цена будет несколько выше, но суммы, предлагаемые Microsoft, не отступают от суммы строительства конкуренция.
HDR10 + - все, что вам нужно знать
... ся справиться с Dolby Vision а также HDR10 , не забывайте недавнее прибытие еще одного HDR (High Dynamic Range) формат, разработанный для того, чтобы превзойти Dolby Vision в собственной игре. Мы рассмотрим HDR10 +, формат, созданный
Bose Lifestyle 135 или пустое будущее домашнего кинотеатра
... всегда согласен с этим. Я использовал для более коротких или более длительных периодов времени несколько устройств Bose и я был счастлив или восхищен. Это было в случае с громкоговорителем Bose Soundlink mini , Этот карлик просто производит отличное впечатление. Между тем, Lifestyle
ЗАИКС на свадьбе
Сборы, связанные с публичной музыкой на специальных мероприятиях Кто за это платит? На веб-сайте ZAIKS вы можете найти все типы договоров, которые вы можете заключить с этим учреждением. Однако ни один из них не позволяет ди-джею или музыкальной группе платить за ZAIKS в виде подписки. Это всегда единовременная оплата за каждое мероприятие. Поэтому, если вы встретите моего друга, который будет сражаться у него в груди и пообещать, что он платит гонорары и у него есть контракт
Предполагается, что Everipedia - это Википедия на блокчейне, которую нельзя отключить.
Блокчейн медленно становится словом - ключом. Он привлекает инвесторов к бизнесу, который решает проблемы ... уже решены. Одним из них является Everipedia, которая является копией Википедии в цепочке блоков, которая успешно собирать 30 миллионов долларов инвестиций.
Аноним утверждает, что DNS-атаки на Symantec, Apple, Microsoft
... на Pastebin Группа берет на себя ответственность за запуск атак «Отравление DNS Cache Snoop» на своих жертв. Отслеживание DNS-кэша - это процесс, при котором хакеры могут запрашивать DNS-сервер, чтобы выяснить, какие доменные имена разрешаются в IP-адреса. Отравление кеша DNS это метод, с помощью которого хакеры могут вставлять вредоносные

Комментарии

Что в ней такого интересного, что ее приняли власти и массы?
Что в ней такого интересного, что ее приняли власти и массы? А.С . : Трудно сказать, было ли это принято массами. У нас нет информации по этому вопросу. Это была действительно первая успешная реализация национального журнала. Национальный шрифт в среде дизайнеров, принтеров, графических дизайнеров давно обсуждался и ожидался. Везде люди искали национальности. В шрифте больше. После многих неудачных попыток в Полтавском мне удалось создать что-то с руками
Если Google Maps не будет этого делать, что такое хорошее приложение, которое может?
Если Google Maps не будет этого делать, что такое хорошее приложение, которое может? Я собираюсь Вашингтон, округ Колумбия, через две недели на велосипеде и может использовать его в городе, чтобы добраться от моего места пребывания до железнодорожного вокзала ". Фил собирался кататься на Велосипедная дорожка канала C & O В 184,5 милях от Камберленда, штат Мэриленд, до округа. След был бы достаточно легким, чтобы пройти, но как только
Что пошло не так?
Что пошло не так? Какие испорченные данные привели к сбою нашей элегантной, умной и очень Pythonic программы? Вы могли бы долго смотреть на это и ломать голову над ним или просить кого-то о помощи, но более быстрый и умный подход состоит в том, чтобы добавить заявление для печати. Лучшее место для добавления оператора печати - прямо перед строкой, в которой произошел сбой программы, и распечатать данные, которые, по-видимому, являются причиной сбоя. Теперь этот подход может генерировать
Кто потом придет на твою крутую событие, если ты не держишь внимание людей, не заинтересовывает их, не создаешь свой круг единомышленников, сторонников?
Кто потом придет на твою крутую событие, если ты не держишь внимание людей, не заинтересовывает их, не создаешь свой круг единомышленников, сторонников? Страница не должна быть спорадической: бросили контента, а потом уснули. Ибо вокруг такой поток информации, что люди не держат в голове то, что было раньше: надо напоминать, «подкармливать», подпитывать новыми изюминками. Во-вторых, это определенная занудство. Такова наша специфика, мы часто оперируем понятиями социологии,
Есть ли у вас впечатление, что все фирменные футболки многих компаний выглядят одинаково и не различают их?
Есть ли у вас впечатление, что все фирменные футболки многих компаний выглядят одинаково и не различают их? Откройте для себя необычные способы маркировки одежды, благодаря которым клиенты надолго запомнят вашу компанию! Флекс пленка лакированная Метод маркировки, который представляет собой лакированную гибкую фольгу, дает потрясающие результаты, и принт отлично смотрится на одежде. Лаковое покрытие заставляет свет отражаться на отпечатке, благодаря чему этот метод
Что все это делает?
Что все это делает? В основном это окружает содержащиеся плавающие элементы с невидимыми стенами, которые держат их в своем контейнере. Многие CSS-фреймворки по умолчанию предоставляют класс .clearfix и даже применяют его к часто используемым классам, таким как .container. Однако, поскольку мы работаем с необработанным CSS и создаем его с нуля, вам нужно создать его самостоятельно. Собственность положения Когда вам нужны точные пиксельные местоположения для ваших
Что это учитывает?
Что это учитывает? Как использовать его преимущества? Почему скидка и калькулятор скидок исчезают и нет смысла им пользоваться? В начале были скидки: классификация бонус-малус Начнем с самого начала, а точнее со скидок и повышений, которые спят глазами многих водителей. Мы профессионально называем их классификацией бонус-малус , Наша система поощрений
Вы не вымыли руки должным образом или не оделись достаточно тепло?
Вы не вымыли руки должным образом или не оделись достаточно тепло? Когда вредоносные программы, которая звучит так: Вы были определены на порносайты, у вас открыт пиратское беспокойство или вложение в очевидном спам - как глупо вы должны быть! По крайней мере, в компьютерной сфере эти предрассудки совершенно неверны. По поводу порносайтов: Согласно G Data Malware Report В первом полугодии 2015 года наибольший
Мне не нужно писать, что там хорошая камера незаменима с моей маленькой скрипкой?
Мне не нужно писать, что там хорошая камера незаменима с моей маленькой скрипкой? Сожалею, что раньше у меня в руках не было этого телефона. Определенные ситуации всегда будут оставаться в памяти матери, Xperia Z1 это позволяет вам хранить их в нетронутом виде, то есть в виде фотографии. Особенно интересным вариантом является TimeShift Burst, который при однократном нажатии на кнопку затвора - он автоматически делает серию из 61 снимка
Карты Google используются миллионами людей каждый день, и вы можете быть одним из них, но как это на самом деле работает и как Google так хорошо поддерживает свою точность?
Карты Google используются миллионами людей каждый день, и вы можете быть одним из них, но как это на самом деле работает и как Google так хорошо поддерживает свою точность? Прочитайте больше , Это свидетельствует как о качестве, так и о доминировании продукта компании. По большей части у Google это было легко. Грандиозное яблоко
Почему Asus не заставил задуматься и не включил второй динамик для стереоэффектов?
Почему Asus не заставил задуматься и не включил второй динамик для стереоэффектов? На этом смартфоне есть гнездо, и оно расположено выше. Его рендеринг очень удовлетворительный, и приложение

Зачем мне использовать Bootstrap?
Кто-то раскроет свои данные?
Что в ней такого интересного, что ее приняли власти и массы?
Если Google Maps не будет этого делать, что такое хорошее приложение, которое может?
Что пошло не так?
Какие испорченные данные привели к сбою нашей элегантной, умной и очень Pythonic программы?
Кто потом придет на твою крутую событие, если ты не держишь внимание людей, не заинтересовывает их, не создаешь свой круг единомышленников, сторонников?
Есть ли у вас впечатление, что все фирменные футболки многих компаний выглядят одинаково и не различают их?
Что все это делает?
Что это учитывает?
2011.11.19
Карта