Hàng triệu thiết bị Bluetooth bị ảnh hưởng bởi lỗ hổng SWEYNTOOTH

Hàng triệu thiết bị Bluetooth bị ảnh hưởng bởi lỗ hổng SWEYNTOOTH

Một nhóm các lỗ hổng được tìm thấy trong các bộ phát triển (BLE) Bluetooth Low Energy (SDK) khác nhau của bảy hệ thống trên chip (SoC) ảnh hưởng đến hàng triệu thiết bị trên khắp thế giới, từ máy theo dõi Bluetooth đơn giản đến thiết bị y tế.

BLE là một giao thức truyền thông được thiết kế để hạn chế mức tiêu thụ điện năng, với một nhược điểm đơn giản: không thể gửi nhiều dữ liệu. Về lý thuyết, BLE là một kết nối an toàn, nhưng điều đó không có nghĩa là nó thiếu các lỗ hổng.

SWEYNTOOTH là một tập hợp các lỗ hổng có sẵn thông qua SDK chính thức từ nhiều nhà cung cấp lớn, chẳng hạn như Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics và Telink Semiconductor. Các nhà nghiên cứu từ Đại học Công nghệ và Thiết kế Singapore cho rằng danh sách các nhà cung cấp này chưa đầy đủ và nhiều nhà cung cấp khác cũng có khả năng bị ảnh hưởng.

Các nhà nghiên cứu cho biết "chúng tôi đã theo dõi các phản hồi trong quá trình điều tra, cho phép hầu hết tất cả các nhà cung cấp SoC phát hành công khai các bản vá tương ứng của họ. Tuy nhiên, một số lượng đáng kể các sản phẩm IoT dựa trên các SoC bị ảnh hưởng tới kết nối BLE sẽ vẫn cần nhận thêm các bản vá từ các nhà cung cấp tương ứng, miễn là cơ chế cập nhật firmware được nhà cung cấp hỗ trợ".

Các vấn đề bảo mật rủi ro rơi vào ba loại, tùy thuộc vào hiệu quả của việc khai thác. Các lỗ hổng có thể gây ra sự cố bằng cách kích hoạt các lỗi cứng, bế tắc ảnh hưởng đến tính khả dụng của kết nối BLE mà không gây ra lỗi cứng hoặc hỏng bộ nhớ và điều này có khả năng bỏ qua các phương pháp bảo mật.

Bỏ qua bảo mật thực sự nguy hiểm, vì nó sẽ cho phép những kẻ tấn công trong phạm vi vô tuyến bỏ qua chế độ ghép nối an toàn mới nhất của BLE, cho phép chúng truy cập đọc hoặc ghi tùy ý vào thiết bị.

Nghiên cứu được công bố trên năm thiết bị, bao gồm Fitbit Inspire, Eve Energy, August Smart Lock, CubiTag và eGeeTouch, và thấy tất cả chúng đều bị ảnh hưởng bởi SWEYNTOOTH ở nhiều mức độ khác nhau. Độ nguy hiểm của lỗ hổng phụ thuộc rất nhiều vào cách phần mềm được triển khai trên mỗi thiết bị.

Đối với lĩnh vực y tế, các thiết bị dễ bị tổn thương bao gồm máy đo đường huyết, máy thở và thậm chí cả máy điều hòa nhịp tim, nhưng danh sách đó có lẽ rộng hơn nhiều so với số lượng nhà cung cấp SoC bị ảnh hưởng.

Trong khi nhiều nhà cung cấp đã khắc phục các sự cố trước khi các lỗ hổng được công khai, một số công ty vẫn chưa phát hành bản vá, khiến tất cả các thiết bị của họ có nguy cơ tiềm ẩn.

BitdefenderTotal Security 2020

Giá chuẩn: 790.000,00 ₫

Khuyến mãi:300.000,00 ₫

Giá đặc biệt: 490.000,00 ₫

Post Releases